變更金鑰政策

您可以使用AWS Management Console或PutKeyPolicy作業變更中 KMS 金鑰的AWS 帳戶金鑰原則。您無法使用這些技術變更不同 AWS 帳戶中 KMS 金鑰的金鑰政策。

變更金鑰政策時，請注意以下規則：

您可以檢視 AWS 受管金鑰或客戶受管金鑰的金鑰政策，但只能變更客戶受管金鑰的金鑰政策。AWS 受管金鑰的政策是由您帳戶中建立 KMS 金鑰的 AWS 服務所建立和管理。您無法檢視或變更 AWS 擁有的金鑰的金鑰政策。
您可以在金鑰政策中新增或移除 IAM 使用者、IAM 角色和 AWS 帳戶，以及變更這些主體獲允許或拒絕的動作。如需在金鑰政策中指定主體和許可之方式的詳細資訊，請參閱金鑰政策。
您不能新增 IAM 群組到金鑰政策，但您可以新增多個 IAM 使用者和 IAM 角色。如需詳細資訊，請參閱允許多個 IAM 主體存取 KMS 金鑰。
如果您新增外部 AWS 帳戶到金鑰政策，您也必須在外部帳戶中使用 IAM 政策來提供許可給這些帳戶中的 IAM 使用者、群組或角色。如需詳細資訊，請參閱允許其他帳戶中的使用者使用 KMS 金鑰。
產生的金鑰政策文件不能超過 32 KB (32,768 位元組)。

如何變更金鑰政策

變更金鑰政策有三種方法，如以下章節所述。

您可以使用主控台，以稱為預設檢視的圖形界面來變更金鑰政策。

如果以下步驟不符合您在主控台中看到的步驟，可能表示此金鑰政策不是使用主控台所建立的。也可能表示主控台的預設檢視不支援修改後的金鑰政策。在這種情況下，請遵循使用 AWS Management Console 政策檢視或使用 AWS KMS API 中的步驟進行。

請依檢視金鑰政策 (主控台) 所述，檢視客戶受管金鑰的金鑰政策。(您無法變更 AWS 受管金鑰的金鑰政策。)
決定進行哪些變更。
- 若要新增或移除金鑰管理員，以及允許或不允許金鑰管理員刪除 KMS 金鑰，請使用頁面上的 Key administrators (金鑰管理員) 區段中的控制項。金鑰管理員負責管理 KMS 金鑰，包括啟用和停用它、設定金鑰政策，以及啟用金鑰輪換。
- 若要新增或移除金鑰使用者，以及允許或不允許 AWS 帳戶使用 KMS 金鑰，請使用頁面上的 Key users (金鑰使用者) 區段中的控制項。金鑰使用者可以在密碼編譯操作中使用 KMS 金鑰，例如加密、解密、重新加密和產生資料金鑰。

您可以使用主控台的「政策檢視」來變更金鑰政策文件。

您可以使用此PutKeyPolicy作業變更您的 KMS 金鑰的金鑰原則AWS 帳戶。您無法對其他 AWS 帳戶中的 KMS 金鑰使用此 API。

如需將金鑰原則從一個 KMS 金鑰複製到另一個 KMS 金鑰的GetKeyPolicy 範例，請參閱AWS CLI命令參考中的範例。

IAM 群組在金鑰政策中不是有效的主體。若要允許多個使用者和角色存取 KMS 金鑰，請執行下列其中一項操作：

使用 IAM 角色作為金鑰政策中的主體。多個授權使用者可以視需要擔任該角色。如需詳細資訊，請參閱《IAM 使用者指南》中的 IAM 角色。

雖然您可以在金鑰政策中列出多個 IAM 使用者，但不建議使用此做法，因為這會要求您在每次授權使用者清單變更時更新金鑰政策。此外，IAM 最佳實務不建議使用具有長期憑證的 IAM 使用者。如需詳細資訊，請參閱《IAM 使用者指南》中的 IAM 中的安全性最佳實務。
使用 IAM 政策，將許可授予給 IAM 群組。為此，請確保金鑰政策包含的陳述式可啟用 IAM 政策以允許存取 KMS 金鑰，建立一個允許存取 KMS 金鑰的 IAM 政策，然後將該政策連接到包含該授權 IAM 使用者的 IAM 群組。透過此方式，您不需要在授權的使用者清單變更時，隨之變更任何政策。相反地，您只需要從適當的 IAM 群組新增或移除這些使用者。如需詳細資訊，請參閱《IAM 使用者指南》中的 IAM 使用者群組

如需 AWS KMS 金鑰政策與 IAM 政策如何同時運作的相關資訊，請參閱對金鑰存取進行故障診斷。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

檢視金鑰政策

AWS 服務權限