本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更改密钥政策
您可以使用 Amazon Web Services Management Console 或PutKeyPolicy操作更改中某个 KMS 密钥的密钥策略。 Amazon Web Services 账户 但这些技术不能用于更改其他 Amazon Web Services 账户中的 KMS 密钥的密钥策略。
当更改密钥策略时,请注意以下规则:
-
您可以查看 Amazon 托管式密钥 或客户托管密钥的密钥策略,但只能更改客户托管密钥的密钥策略 的策略由 Amazon 托管式密钥 在您的账户中创建 KMS 密钥的 Amazon 服务创建和管理。您无法查看或更改 Amazon 拥有的密钥 的密钥策略。
-
您可以在密钥策略 Amazon Web Services 账户 中添加或删除 IAM 用户、IAM 角色以及更改允许或拒绝这些委托人的操作。有关在密钥策略中指定委托人和权限的方法的更多信息,请参阅密钥政策。
-
您无法向密钥策略添加 IAM 组,但可以添加多个 IAM 用户和 IAM 角色。有关更多信息,请参阅 允许多个 IAM 主体访问 KMS 密钥。
-
如果您在密钥策略中 Amazon Web Services 账户 添加外部策略,则还必须在外部账户中使用 IAM 策略向这些账户中的 IAM 用户、群组或角色授予权限。有关更多信息,请参阅 允许其他账户中的用户使用 KMS 密钥。
-
所生成的密钥策略文档不能超过 32 KB(32,768 字节)。
如何更改密钥策略
您可以通过三种不同的方式更改密钥策略,如以下各部分所述。
主题
使用 Amazon Web Services Management Console 默认视图
您可以使用控制台中名为默认视图的图形界面来更改密钥策略。
如果以下步骤与您在此控制台中看到的内容不一致,可能意味着,此密钥策略不是由此控制台创建的。也可能意味着,修改此密钥策略的方式不受控制台的默认视图的支持。在这种情况下,请按照使用 Amazon Web Services Management Console 策略视图或使用 Amazon KMS API中的步骤操作。
查看客户托管密钥的密钥策略,如 使用控制 Amazon KMS 台 中所述。(您无法更改的密钥策略 Amazon 托管式密钥。)
-
确定要更改的内容。
使用 Amazon Web Services Management Console 策略视图
您可以使用控制台的策略视图更改密钥策略文档。
查看客户托管密钥的密钥策略,如 使用控制 Amazon KMS 台 中所述。(您无法更改的密钥策略 Amazon 托管式密钥。)
-
在密钥策略部分中,选择切换到策略视图。
-
选择编辑。
-
确定要更改的内容。
-
要添加新声明,请选择 “添加新声明”。然后,您可以从报表生成器面板中列出的选项中选择新密钥策略声明的操作、委托人和条件,或者手动输入策略声明元素。
-
要从密钥策略中删除声明,请选择该声明,然后选择删除。查看选定的政策声明并确认要将其删除。如果您决定不想继续删除该声明,请选择 “取消”。
-
要编辑现有的密钥政策声明,请选择该声明。然后,您可以使用语句生成器面板来选择要修改的特定元素,或者手动编辑该语句。
-
-
选择 Save changes(保存更改)。
使用 Amazon KMS API
您可以使用该PutKeyPolicy操作来更改您的 KMS 密钥的密钥策略 Amazon Web Services 账户。但不能对其他 Amazon Web Services 账户中的 KMS 密钥使用此 API。
-
使用GetKeyPolicy操作获取现有的密钥策略文档,然后将密钥策略文档保存到文件中。有关多种编程语言中的示例代码,请参阅 GetKeyPolicy与 Amazon SDK 或 CLI 配合使用。
-
在您的首选文本编辑器中打开该密钥策略文档,编辑该密钥策略文档,然后保存文件。
-
使用PutKeyPolicy操作将更新的密钥策略文档应用于 KMS 密钥。有关多种编程语言中的示例代码,请参阅 PutKeyPolicy与 Amazon SDK 或 CLI 配合使用。
有关将密钥策略从一个 KMS 密钥复制到另一个 KMS 密钥的GetKeyPolicy 示例,请参阅《 Amazon CLI 命令参考》中的示例。