更改密钥策略
要在 AWS KMS 中更改客户主密钥 (CMK) 的权限,请更改 CMK 的密钥策略。
当更改密钥策略时,请注意以下规则:
-
您可以在密钥策略中添加或删除 IAM 用户、IAM 角色和 AWS 账户(根用户),并更改允许或拒绝这些委托人执行的操作。有关在密钥策略中指定委托人和权限的方法的更多信息,请参阅使用密钥策略。
-
您无法向密钥策略添加 IAM 组,但可以添加多位 IAM 用户。有关更多信息,请参阅允许多位 IAM 用户访问 CMK。
-
如果向密钥策略添加外部 AWS 账户,您还必须使用外部账户中的 IAM 策略向这些账户中的 IAM 用户、组或角色授予权限。有关更多信息,请参阅允许其他账户中的用户使用 CMK。
-
所生成的密钥策略文档不能超过 32 KB(32,768 字节)。
如何更改密钥策略
您可以通过三种不同的方式更改密钥策略,以下各部分将分别介绍每一种方式。
使用 AWS 管理控制台默认视图
您可以使用控制台中名为默认视图的图形界面来更改密钥策略。
如果以下步骤与您在此控制台中看到的内容不一致,可能意味着,此密钥策略不是由此控制台创建的。也可能意味着,修改此密钥策略的方式不受控制台的默认视图的支持。在这种情况下,请按照使用 AWS 管理控制台策略视图或使用 AWS KMS API中的步骤操作。
-
登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms。
-
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择 Customer managed keys (客户托管密钥)。(您无法更改 AWS 托管密钥的密钥策略。)
-
选择要更改其密钥策略的 CMK 的别名或密钥 ID。
-
向下滚动至 Key policy (密钥策略) 选项卡。
-
确定要更改的内容。
使用 AWS 管理控制台策略视图
您可以使用控制台的策略视图更改密钥策略文档。
-
登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms。
-
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择 Customer managed keys (客户托管密钥)。(您无法更改 AWS 托管 CMK 的密钥策略。
-
选择要更改的 CMK 的别名或密钥 ID。
-
向下滚动至 Key policy (密钥策略) 选项卡。
-
在 Key Policy (密钥策略) 部分中,选择 Switch to policy view (切换到策略视图)。
-
编辑密钥策略文档,然后选择 Save changes (保存更改)。
使用 AWS KMS API
您可以使用 AWS KMS API 更改密钥策略文档。以下步骤使用 AWS KMS HTTP API。您可以使用 AWS 开发工具包或 AWS 命令行工具执行相同的操作,这通常会比使用 HTTP API 简单。有关其他开发工具包和工具的操作和语法,请查阅该特定开发工具包或工具的参考文档。有关使用AWS SDK for Java的示例代码,请参阅使用密钥策略。
更改密钥策略文档 (KMS API)
-
使用 GetKeyPolicy 检索现有的密钥策略文档,然后将该密钥策略文档保存为一个文件。
-
在您的首选文本编辑器中打开该密钥策略文档,编辑该密钥策略文档,然后保存文件。
-
使用 PutKeyPolicy 将已更新的密钥策略文档应用到 CMK。
允许多位 IAM 用户访问 CMK
IAM 组不是密钥策略中的有效委托人。要允许多位 IAM 用户访问 CMK,请执行以下操作之一:
-
将每位 IAM 用户添加到密钥策略中。此方法要求您在授权用户列表每次发生更改时更新密钥策略。
-
确保密钥策略包含启用 IAM 策略以允许访问 CMK 的语句。然后,创建一个 IAM 策略以允许访问 CMK,再将该策略附加到 IAM 组(其中包含经授权的 IAM 用户)。使用此方式,您不需要在授权用户列表发生更改时更改任何策略。相反,您只需在相应的 IAM 组中添加或删除这些用户。
有关 AWS KMS 密钥策略和 IAM 策略如何协同工作的更多信息,请参阅密钥访问故障排除。