更改密钥策略 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改密钥策略

您可以在 Amazon Web Services 账户 通过使用Amazon Web Services Management Console或PutKeyPolicyoperation. 但这些技术不能用于更改其他 Amazon Web Services 账户 .

当更改密钥策略时,请注意以下规则:

  • 您可以查看 Amazon 托管 CMK客户托管 CMK 的密钥策略,但只能更改客户托管 CMK 的密钥策略 的政策Amazon托管 CMK 的创建和管理由Amazon服务,以便在账户中创建 CMK。您无法查看或更改Amazon拥有的 CMK.

  • 您可以添加或删除 IAM 用户、IAM 角色和 Amazon Web Services 账户 (根用户),并更改允许或拒绝这些委托人执行的操作。有关在密钥策略中指定委托人和权限的方法的更多信息,请参阅使用密钥策略

  • 您无法向密钥策略添加 IAM 组,但可以添加多位 IAM 用户。有关更多信息,请参阅允许多位 IAM 用户访问 CMK

  • 如果添加外部 Amazon Web Services 账户 到密钥策略,您还必须使用外部账户中的 IAM 策略向这些账户中的 IAM 用户、组或角色授予权限。有关更多信息,请参阅允许其他账户中的用户使用 CMK

  • 所生成的密钥策略文档不能超过 32 KB(32,768 字节)。

如何更改密钥策略

您可以通过三种不同的方式更改密钥策略,以下各部分将分别介绍每一种方式。

使用 Amazon Web Services Management Console默认视图

您可以使用控制台中名为默认视图的图形界面来更改密钥策略。

如果以下步骤与您在此控制台中看到的内容不一致,可能意味着,此密钥策略不是由此控制台创建的。也可能意味着,修改此密钥策略的方式不受控制台的默认视图的支持。在这种情况下,请按照使用 Amazon Web Services Management Console策略视图使用 Amazon KMS API中的步骤操作。

  1. 查看客户托管 CMK 的密钥策略,如查看密钥策略(控制台). (您无法更改 Amazon 托管密钥的密钥策略。)

  2. 确定要更改的内容。

    • 要添加或删除密钥管理员以及允许或阻止密钥管理员删除 CMK,请使用此页面的 Key administrators (密钥管理员) 部分中的控件。密钥管理员管理 CMK,包括启用和禁用它、设置密钥策略以及启用密钥轮换

    • 添加或删除关键用户,并允许或禁止外部 Amazon Web Services 账户 使用 CMK,请使用关键用户部分。密钥用户可以在加密操作(如加密、解密、重新加密和生成数据密钥)中使用 CMK。

使用 Amazon Web Services Management Console策略视图

您可以使用控制台的策略视图更改密钥策略文档。

  1. 查看客户托管 CMK 的密钥策略,如查看密钥策略(控制台). (您无法更改 Amazon 托管密钥的密钥策略。)

  2. Key Policy (密钥策略) 部分中,选择 Switch to policy view (切换到策略视图)

  3. 编辑密钥策略文档,然后选择 Save changes (保存更改)

使用 Amazon KMS API

您可以使用PutKeyPolicy操作以更改 CMK 的密钥策略 Amazon Web Services 账户 . 您无法对其他 CMK 使用此 API。 Amazon Web Services 账户 .

  1. 使用 GetKeyPolicy 操作获取现有密钥策略文档,然后将密钥策略文档保存到文件中。有关多种编程语言的示例代码,请参阅获取密钥策略

  2. 在您的首选文本编辑器中打开该密钥策略文档,编辑该密钥策略文档,然后保存文件。

  3. 使用 PutkeyPolicy 操作,将更新后的密钥策略文档应用于 CMK。有关多种编程语言的示例代码,请参阅设置密钥策略

有关将密钥策略从一个 CMK 复制到另一个 CMK 的示例,请参阅GetKeyPolicy 示例中的Amazon CLI命令参考。

允许多位 IAM 用户访问 CMK

IAM 组不是密钥策略中的有效委托人。要允许多位 IAM 用户访问 CMK,请执行以下操作之一:

  • 将每位 IAM 用户添加到密钥策略中。此方法要求您在授权用户列表每次发生更改时更新密钥策略。

  • 确保密钥策略包含以下语句:启用 IAM 策略以允许访问 CMK. 然后创建 IAM 策略,允许访问 CMK,然后将该策略附加到 IAM 组,其中包含已授权的 IAM 用户。使用此方式,您不需要在授权用户列表发生更改时更改任何策略。相反,您只需在相应的 IAM 组中添加或删除这些用户。

有关如何Amazon KMS密钥策略和 IAM 策略协同工作,请参阅密钥访问故障排除.