檢視金鑰政策 - AWS Key Management Service
檢視金鑰政策 (主控台)檢視金鑰政策 (AWS KMS API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視金鑰政策

您可以使用 AWS KMS API AWS 受管金鑰中的或GetKeyPolicy作業,檢視AWS KMS客戶管理金鑰或您帳戶中某個金鑰的金鑰政策。AWS Management Console您無法使用這些技術檢視不同 AWS 帳戶 中 KMS 金鑰的金鑰政策。

若要進一步了解 AWS KMS 金鑰政策,請參閱中的主要政策 AWS KMS。若要了解如何判斷哪些使用者和角色可以存取 KMS 金鑰,請參閱 判斷 AWS KMS keys 的存取權

檢視金鑰政策 (主控台)

授權的使用者可以在 AWS Management Console 的 Key policy (金鑰政策) 索引標籤上檢視 AWS 受管金鑰客戶受管金鑰的金鑰政策。

若要檢視中 KMS 金鑰的金鑰原則AWS Management Console,您必須具有 kms: ListAliaseskms: DescribeKeykms: GetKeyPolicy 權限。

  1. 請登入 AWS Management Console,並開啟 AWS Key Management Service (AWS KMS) 主控台 (網站:https://console.aws.amazon.com/kms)。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選取器。

  3. 若要檢視 AWS 為您建立及管理之帳戶中的金鑰,請在導覽窗格中選擇 AWS 受管金鑰。若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。

  4. 在 KMS 金鑰清單中,選擇您要檢查之 KMS 金鑰的別名或金鑰 ID。

  5. 選擇 Key policy (金鑰政策) 標籤。

    Key policy (金鑰政策) 索引標籤中,您可能會看到金鑰政策文件。這是「政策檢視」。在金鑰政策陳述式中,您可以看到由金鑰政策授予 KMS 金鑰存取權的主體,也會看到他們可以執行的動作。

    下列範例顯示預設金鑰政策的政策檢視。

    AWS KMS 主控台中政策檢視的預設金鑰政策檢視

    或者,如果在 AWS Management Console 中建立了 KMS 金鑰,您將在 Key administrators (金鑰管理員)、Key deletion (金鑰刪除) 和 Key Users (金鑰使用者) 區段中看到預設檢視。若要查看金鑰政策文件,請選擇 Switch to policy view (切換至政策檢視)

    下列範例顯示預設金鑰政策的預設檢視。

    AWS KMS 主控台中預設檢視的預設金鑰政策檢視

檢視金鑰政策 (AWS KMS API)

若要取得 KMS 金鑰的金鑰原則AWS 帳戶,請使用 AWS KMS API 中的GetKeyPolicy作業。您無法使用此操作檢視不同帳戶中的金鑰政策。

下列範例會使用 AWS Command Line Interface (AWS CLI) 中的get-key-policy命令,但您可以使用任何 AWS SDK 來發出此要求。

請注意,雖然 default 是唯一的有效值,但 PolicyName 參數是必要的。此外,這個命令請求使用較易檢視的文字輸出,而不是 JSON。

執行此命令之前,請將範例金鑰 ID 更換成您帳戶的有效 ID。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

回應應該類似下面其中一個項目,會傳回預設的金鑰政策

{
  "Version" : "2012-10-17",
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}