本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更改密钥政策
您可以在 Amazon Web Services 账户 中通过使用 Amazon Web Services Management Console 或 PutKeyPolicy 操作更改 KMS 密钥的密钥策略。但这些技术不能用于更改其他 Amazon Web Services 账户 中的 KMS 密钥的密钥策略。
当更改密钥策略时,请注意以下规则:
-
您可以查看 Amazon 托管式密钥 或客户托管密钥的密钥策略,但只能更改客户托管密钥的密钥策略 Amazon 托管式密钥 的策略由在账户中创建 KMS 密钥的 Amazon 服务创建和管理。您无法查看或更改 Amazon 拥有的密钥 的密钥策略。
-
您可以在密钥策略中添加或删除 IAM 用户、IAM 角色和 Amazon Web Services 账户,并更改允许或拒绝这些主体执行的操作。有关在密钥策略中指定委托人和权限的方法的更多信息,请参阅密钥政策。
-
您无法向密钥策略添加 IAM 组,但可以添加多个 IAM 用户和 IAM 角色。有关更多信息,请参阅 允许多个 IAM 主体访问 KMS 密钥。
-
如果向密钥政策添加外部 Amazon Web Services 账户,您还必须使用外部账户中的 IAM policy 向这些账户中的 IAM 用户、组或角色授予权限。有关更多信息,请参阅 允许其他账户中的用户使用 KMS 密钥。
-
所生成的密钥策略文档不能超过 32 KB(32,768 字节)。
主题
如何更改密钥策略
您可以通过三种不同的方式更改密钥策略,如以下各部分所述。
主题
使用 Amazon Web Services Management Console默认视图
您可以使用控制台中名为默认视图的图形界面来更改密钥策略。
如果以下步骤与您在此控制台中看到的内容不一致,可能意味着,此密钥策略不是由此控制台创建的。也可能意味着,修改此密钥策略的方式不受控制台的默认视图的支持。在这种情况下,请按照使用 Amazon Web Services Management Console策略视图或使用 Amazon KMS API中的步骤操作。
查看客户托管密钥的密钥策略,如 使用 Amazon KMS控制台 中所述。(您无法更改 Amazon 托管式密钥 的密钥策略。)
-
确定要更改的内容。
使用 Amazon Web Services Management Console策略视图
您可以使用控制台的策略视图更改密钥策略文档。
查看客户托管密钥的密钥策略,如 使用 Amazon KMS控制台 中所述。(您无法更改 Amazon 托管式密钥 的密钥策略。)
-
在密钥策略部分中,选择切换到策略视图。
-
编辑密钥策略文档,然后选择 Save changes (保存更改)。
使用 Amazon KMS API
您可以使用 PutKeyPolicy 操作更改 Amazon Web Services 账户 中的 KMS 密钥的密钥策略。但不能对其他 Amazon Web Services 账户 中的 KMS 密钥使用此 API。
-
使用 GetKeyPolicy 操作获取现有密钥策略文档,然后将密钥策略文档保存到文件中。有关多种编程语言中的示例代码,请参阅 与 Amazon SDK或GetKeyPolicy一起使用 CLI。
-
在您的首选文本编辑器中打开该密钥策略文档,编辑该密钥策略文档,然后保存文件。
-
使用 PutKeyPolicy 操作,将更新后的密钥策略文档应用于 KMS 密钥。有关多种编程语言中的示例代码,请参阅 与 Amazon SDK或PutKeyPolicy一起使用 CLI。
有关将密钥策略从一个 KMS 密钥复制到另一个密钥的示例,请参阅 Amazon CLI 命令参考中的 GetKeyPolicy 示例。