AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

将您的密钥策略保持最新

使用 AWS 管理控制台创建客户主密钥 (CMK) 时,您可以选择希望其有权访问 CMK 的 IAM 用户、IAM 角色和 AWS 账户。将这些用户、角色和账户添加到默认密钥策略,用于控制对 CMK 的访问。有时,新 CMK 的默认密钥策略会进行更新。通常情况下,这些更新与新的 AWS KMS 功能相对应。

创建新的 CMK 时,系统会将最新版本的默认密钥策略添加到该 CMK 中。但现有 CMK 将继续使用其现有的密钥策略 — 也就是说,新版本的默认密钥策略 会自动应用于现有 CMK。而控制台会提醒您有新版本可用,并提示您进行升级。

注意

仅当您使用的是创建 CMK 时所用的默认密钥策略时,控制台才会向您发出提醒。如果您使用控制台的策略视图PutKeyPolicy API 操作手动修改了密钥策略文档,则控制台不会在新的权限可用时提醒您。

有关升级密钥策略时向其添加的权限的信息,请参阅 更改默认密钥策略。升级到密钥策略的最新版本不应导致问题,因为它只会添加权限,并不会删除任何权限。我们建议您将密钥策略保持为最新版本,除非您有特定原因不这么做。

确定更新版本的默认密钥策略是否可用

您可使用 AWS 管理控制台了解更新版本的默认密钥策略是否可用。

  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  4. 选择使用默认密钥策略的 CMK 的别名或密钥 ID。

  5. 向下滚动至页面的 Key policy (密钥策略) 部分。

    当有新版本的默认密钥策略可用时,控制台会显示以下提醒。

    有更新版本的默认密钥策略可用。预览并升级到新密钥策略。

升级到最新版本的默认密钥策略

当新的默认密钥策略可用时,控制台页面的“Key Policy (密钥策略)”部分将显示以下提醒。

有更新版本的默认密钥策略可用。预览并升级到新密钥策略。

要升级到最新版本的默认密钥策略

  1. 如果您看到一条告知有更新版本的默认密钥策略可用的提醒时,请选择 Preview and upgrade to the new key policy (预览并升级到新密钥策略)

  2. 查看最新版本的默认密钥策略的密钥策略文档。有关最新版本和之前版本之间差异的更多信息,请参阅 更改默认密钥策略。查看密钥策略后,请选择 Upgrade key policy

更改默认密钥策略

当前版本的默认密钥策略中,密钥管理员语句包含了比之前版本更多的权限。这些额外权限与新的 AWS KMS 功能相对应。

使用早期版本的默认密钥策略的 CMK 可能缺少以下权限。当您升级到最新版本的默认密钥策略时,系统会将它们添加到密钥管理员语句中。

kms: TagResource 和 kms: UntagResource

这些权限允许密钥管理员从 CMK 添加、更新和删除标签。当 AWS KMS 发布标记功能时,这些权限将添加到默认密钥策略。

kms: ScheduleKeyDeletion 和 kms: CancelKeyDeletion

这些权限允许密钥管理员为 CMK 安排和取消删除。当 AWS KMS 发布 CMK 删除功能时,这些权限将添加到默认密钥策略。

注意

创建 CMK 和升级到最新版本的默认密钥策略时,默认情况下,将包含 kms:ScheduleKeyDeletionkms:CancelKeyDeletion 权限。不过,在创建 CMK 时,您可以通过清除允许密钥管理员删除此密钥对应的框,选择性地将其从默认密钥策略中删除。同样,您也可以通过密钥详细信息页面将其从现有 CMK 的默认密钥策略中删除。这包括您将其密钥策略升级到最新版本的 CMK。