本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更金鑰政策
您可以使用AWS Management Console或PutKeyPolicy作業變更中 KMS 金鑰的AWS 帳戶金鑰原則。您無法使用這些技術變更不同 AWS 帳戶 中 KMS 金鑰的金鑰政策。
變更金鑰政策時,請注意以下規則:
-
您可以檢視 AWS 受管金鑰 或客戶受管金鑰的金鑰政策,但只能變更客戶受管金鑰的金鑰政策。AWS 受管金鑰 的政策是由您帳戶中建立 KMS 金鑰 的 AWS 服務所建立和管理。您無法檢視或變更 AWS 擁有的金鑰 的金鑰政策。
-
您可以在金鑰政策中新增或移除 IAM 使用者、IAM 角色和 AWS 帳戶,以及變更這些主體獲允許或拒絕的動作。如需在金鑰政策中指定主體和許可之方式的詳細資訊,請參閱金鑰政策。
-
您不能新增 IAM 群組到金鑰政策,但您可以新增多個 IAM 使用者和 IAM 角色。如需詳細資訊,請參閱 允許多個 IAM 主體存取 KMS 金鑰。
-
如果您新增外部 AWS 帳戶 到金鑰政策,您也必須在外部帳戶中使用 IAM 政策來提供許可給這些帳戶中的 IAM 使用者、群組或角色。如需詳細資訊,請參閱 允許其他帳戶中的使用者使用 KMS 金鑰。
-
產生的金鑰政策文件不能超過 32 KB (32,768 位元組)。
如何變更金鑰政策
變更金鑰政策有三種方法,如以下章節所述。
使用 AWS Management Console 預設檢視
您可以使用主控台,以稱為預設檢視的圖形界面來變更金鑰政策。
如果以下步驟不符合您在主控台中看到的步驟,可能表示此金鑰政策不是使用主控台所建立的。也可能表示主控台的預設檢視不支援修改後的金鑰政策。在這種情況下,請遵循使用 AWS Management Console 政策檢視或使用 AWS KMS API 中的步驟進行。
請依 檢視金鑰政策 (主控台) 所述,檢視客戶受管金鑰的金鑰政策。(您無法變更 AWS 受管金鑰 的金鑰政策。)
-
決定進行哪些變更。
使用 AWS Management Console 政策檢視
您可以使用主控台的「政策檢視」來變更金鑰政策文件。
請依 檢視金鑰政策 (主控台) 所述,檢視客戶受管 KMS 金鑰的金鑰政策。(您無法變更 AWS 受管金鑰 的金鑰政策。)
-
在 金鑰政策 區段中,選擇 切換為政策檢視。
-
編輯金鑰政策文件,然後選擇 Save changes (儲存變更)。
使用 AWS KMS API
您可以使用此PutKeyPolicy作業變更您的 KMS 金鑰的金鑰原則AWS 帳戶。您無法對其他 AWS 帳戶 中的 KMS 金鑰使用此 API。
-
使用此GetKeyPolicy作業取得現有的金鑰原則文件,然後將金鑰原則文件儲存至檔案。如需多種程式設計語言的範例程式碼,請參閱取得金鑰政策。
-
在您偏好的文字編輯器中開啟金鑰政策文件、編輯金鑰政策文件,然後儲存檔案。
-
使用此PutKeyPolicy作業將更新的金鑰原則文件套用至 KMS 金鑰。如需多種程式設計語言的範例程式碼,請參閱設定金鑰政策。
如需將金鑰原則從一個 KMS 金鑰複製到另一個 KMS 金鑰的GetKeyPolicy 範例,請參閱AWS CLI命令參考中的範例。
允許多個 IAM 主體存取 KMS 金鑰
IAM 群組在金鑰政策中不是有效的主體。若要允許多個使用者和角色存取 KMS 金鑰,請執行下列其中一項操作:
-
使用 IAM 角色作為金鑰政策中的主體。多個授權使用者可以視需要擔任該角色。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 角色。
雖然您可以在金鑰政策中列出多個 IAM 使用者,但不建議使用此做法,因為這會要求您在每次授權使用者清單變更時更新金鑰政策。此外,IAM 最佳實務不建議使用具有長期憑證的 IAM 使用者。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的安全性最佳實務。
-
使用 IAM 政策,將許可授予給 IAM 群組。為此,請確保金鑰政策包含的陳述式可啟用 IAM 政策以允許存取 KMS 金鑰,建立一個允許存取 KMS 金鑰的 IAM 政策,然後將該政策連接到包含該授權 IAM 使用者的 IAM 群組。透過此方式,您不需要在授權的使用者清單變更時,隨之變更任何政策。相反地,您只需要從適當的 IAM 群組新增或移除這些使用者。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 使用者群組
如需 AWS KMS 金鑰政策與 IAM 政策如何同時運作的相關資訊,請參閱 對金鑰存取進行故障診斷。