Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kontrol akses ke penghapusan kunci
<a name="deleting-keys-adding-permission"></a>

Jika Anda menggunakan kebijakan IAM untuk mengizinkan AWS KMS izin, identitas IAM yang memiliki akses AWS administrator (`"Action": "*"`) atau akses AWS KMS penuh () sudah diizinkan untuk menjadwalkan dan membatalkan kunci penghapusan kunci KMS. `"Action": "kms:*"` Untuk mengizinkan administrator kunci menjadwalkan dan membatalkan penghapusan kunci dalam kebijakan kunci, gunakan AWS KMS konsol atau API. AWS KMS 

Biasanya, hanya administrator kunci yang memiliki izin untuk menjadwalkan atau membatalkan penghapusan kunci. Namun, Anda dapat memberikan izin ini ke identitas IAM lainnya dengan menambahkan `kms:CancelKeyDeletion` izin `kms:ScheduleKeyDeletion` dan ke kebijakan kunci atau kebijakan IAM. Anda juga dapat menggunakan kunci [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)kondisi untuk lebih membatasi nilai yang dapat ditentukan oleh prinsipal dalam `PendingWindowInDays` parameter permintaan. [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)

## Izinkan administrator kunci untuk menjadwalkan dan membatalkan penghapusan kunci
<a name="allow-key-deletion"></a>

### Menggunakan AWS KMS konsol
<a name="deleting-keys-adding-permission-console"></a>

Untuk memberikan izin kepada administrator kunci untuk menjadwalkan dan membatalkan penghapusan kunci.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih alias atau ID kunci kunci KMS yang izinnya ingin Anda ubah.

1. Pilih tab **kebijakan kunci**.

1. Langkah selanjutnya berbeda untuk *tampilan default* dan *tampilan kebijakan kebijakan* utama Anda. Tampilan default hanya tersedia jika Anda menggunakan kebijakan kunci konsol default. Jika tidak, hanya tampilan kebijakan yang tersedia.

   Jika tampilan default tersedia, **tombol Beralih ke tampilan kebijakan** atau **Beralih ke tampilan default** akan muncul di tab **Kebijakan kunci**.
   + Dalam tampilan default:

     1. Di bawah **Penghapusan kunci**, pilih **Izinkan administrator kunci untuk menghapus** kunci ini.
   + Dalam tampilan kebijakan:

     1. Pilih **Edit**.

     1. Dalam pernyataan kebijakan untuk administrator kunci, tambahkan `kms:CancelKeyDeletion` izin `kms:ScheduleKeyDeletion` dan ke elemen. `Action`

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Pilih **Simpan perubahan**.

### Menggunakan AWS KMS API
<a name="deleting-keys-adding-permission-cli"></a>

Anda dapat menggunakan AWS Command Line Interface untuk menambahkan izin untuk penjadwalan dan pembatalan penghapusan kunci.

**Guna menambahkan izin untuk menjadwalkan dan membatalkan penghapusan kunci**

1. Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) untuk mengambil kebijakan kunci yang sudah ada, lalu simpan dokumen kebijakan ke sebuah file.

1. Buka dokumen kebijakan di editor teks pilihan Anda. Dalam pernyataan kebijakan untuk administrator kunci, tambahkan `kms:ScheduleKeyDeletion` dan `kms:CancelKeyDeletion` izin. Contoh berikut menunjukkan pernyataan kebijakan dengan dua izin ini:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)perintah untuk menerapkan kebijakan kunci ke tombol KMS.