更改密钥策略 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改密钥策略

您可以在自己的密钥中更改密KMS钥的密钥策略 AWS 账户 通过使用 AWS Management Console 或者是PutKeyPolicy手术。您不能使用这些技术在不同的密钥中更改KMS密钥的密钥策略 AWS 账户.

当更改密钥策略时,请注意以下规则:

  • 您可以查看的密钥策略 AWS 托管式密钥客户管理的密钥,但您只能更改客户托管密钥的密钥策略。的政策 AWS 托管式密钥 由创建和管理 AWS 在您的账户中创建KMS密钥的服务。您无法查看或更改的密钥策略 AWS 拥有的密钥.

  • 您可以添加或删除IAM用户、IAM角色和 AWS 账户 在密钥策略中,并更改允许或拒绝这些委托人的操作。有关在密钥策略中指定委托人和权限的方法的更多信息,请参阅密钥政策

  • 您不能向密钥策略中添加IAM群组,但可以添加多个IAM用户和IAM角色。有关更多信息,请参阅 允许多个IAM委托人访问一个密钥 KMS

  • 如果你添加外部 AWS 账户 对于密钥策略,您还必须使用外部账户中的IAM策略向这些账户中的IAM用户、群组或角色授予权限。有关更多信息,请参阅 允许其他账户中的用户使用 KMS 密钥

  • 所生成的密钥策略文档不能超过 32 KB(32,768 字节)。

如何更改密钥策略

您可以通过三种不同的方式更改密钥策略,如以下各部分所述。

使用 AWS Management Console 默认视图

您可以使用控制台中名为默认视图的图形界面来更改密钥策略。

如果以下步骤与您在此控制台中看到的内容不一致,可能意味着,此密钥策略不是由此控制台创建的。也可能意味着,修改此密钥策略的方式不受控制台的默认视图的支持。在这种情况下,请按照使用 AWS Management Console 策略视图使用 AWS KMS API中的步骤操作。

  1. 查看客户托管密钥的密钥策略,如 查看密钥策略(控制台) 中所述。(您无法更改的密钥策略 AWS 托管式密钥.)

  2. 确定要更改的内容。

    • 要添加或移除密钥管理员,以及允许或阻止密钥管理员删除KMS密钥,请使用页面密钥管理员部分中的控件。密钥管理员管理KMS密钥,包括启用和禁用密钥、设置密钥策略和启用密钥轮换

    • 添加或删除关键用户,以及允许或禁止外部用户 AWS 账户 要使用KMS密钥,请使用页面的 “关键用户” 部分中的控件。密钥用户可以在加密操作中使用KMS密钥,例如加密、解密、重新加密和生成数据密钥。

使用 AWS Management Console 策略视图

您可以使用控制台的策略视图更改密钥策略文档。

  1. 查看客户托管密钥的密钥策略,如 查看密钥策略(控制台) 中所述。(您无法更改的密钥策略 AWS 托管式密钥.)

  2. 密钥策略部分中,选择切换到策略视图

  3. 编辑密钥策略文档,然后选择 Save changes (保存更改)

使用 AWS KMS API

您可以使用该PutKeyPolicy操作来更改您的密钥的KMS密钥策略 AWS 账户。 你不能API在另一把KMS钥匙上使用它 AWS 账户.

  1. 使用GetKeyPolicy操作获取现有的密钥策略文档,然后将密钥策略文档保存到文件中。有关多种编程语言中的示例代码,请参阅 GetKeyPolicy搭配使用 AWS SDK或 CLI

  2. 在您的首选文本编辑器中打开该密钥策略文档,编辑该密钥策略文档,然后保存文件。

  3. 使用PutKeyPolicy操作将更新的密钥策略文档应用于KMS密钥。有关多种编程语言中的示例代码,请参阅 PutKeyPolicy搭配使用 AWS SDK或 CLI

有关将密钥策略从一个密钥复制到另一个KMS密钥的示例,请参阅中的GetKeyPolicy 示例 AWS CLI 命令参考。

允许多个IAM委托人访问一个密钥 KMS

IAM在密钥策略中,组不是有效的委托人。要允许多个用户和角色访问KMS密钥,请执行以下任一操作:

有关如何做的更多信息 AWS KMS 关键策略和IAM策略协同工作,请参阅密钥访问故障排除