Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memeriksa kebijakan IAM
<a name="determining-access-iam-policies"></a>

Selain kebijakan dan hibah utama, Anda juga dapat menggunakan [kebijakan IAM](iam-policies.md) untuk mengizinkan akses ke kunci KMS. Untuk informasi selengkapnya tentang bagaimana kebijakan IAM dan kebijakan kunci bekerja sama, lihat [Izin pemecahan masalah AWS KMS](policy-evaluation.md).

Untuk menentukan prinsipal mana yang saat ini memiliki akses ke kunci KMS melalui kebijakan IAM, Anda dapat menggunakan alat IAM [Policy Simulator berbasis browser, atau Anda dapat membuat permintaan ke API IAM](https://policysim.aws.amazon.com/).

**Contents**
+ [Menguji kebijakan IAM dengan simulator kebijakan IAM](#determining-access-iam-policy-simulator)
+ [Menguji kebijakan IAM dengan API IAM](#determining-access-iam-api)

## Menguji kebijakan IAM dengan simulator kebijakan IAM
<a name="determining-access-iam-policy-simulator"></a>

Simulator Kebijakan IAM dapat membantu Anda mempelajari prinsip mana yang memiliki akses ke kunci KMS melalui kebijakan IAM.

**Untuk menggunakan simulator kebijakan IAM untuk menentukan akses ke kunci KMS**

1. Masuk ke Konsol Manajemen AWS dan kemudian buka IAM Policy Simulator di[https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. Di panel **Pengguna, Grup, dan Peran**, pilih pengguna, grup, atau peran yang kebijakannya ingin disimulasikan.

1. (Opsional) Hapus kotak centang di samping kebijakan yang ingin dihilangkan dari simulasi. Untuk mensimulasikan semua kebijakan, biarkan semua kebijakan dipilih.

1. Di panel **Simulator Kebijakan**, lakukan hal berikut:

   1. Untuk **Pilih layanan**, pilih **Layanan Manajemen Kunci**.

   1. Untuk mensimulasikan AWS KMS tindakan tertentu, untuk **Pilih tindakan**, pilih tindakan yang akan disimulasikan. Untuk mensimulasikan semua AWS KMS tindakan, pilih **Pilih Semua**.

1. (Opsional) Simulator Kebijakan mensimulasikan akses ke semua kunci KMS secara default. Untuk mensimulasikan akses ke kunci KMS tertentu, pilih **Pengaturan Simulasi** dan kemudian ketik Nama Sumber Daya Amazon (ARN) dari kunci KMS untuk disimulasikan.

1. Pilih **Jalankan Simulasi**.

Anda bisa melihat hasil simulasi di bagian **Hasil**. Ulangi langkah 2 hingga 6 untuk setiap pengguna, grup, dan peran dalam Akun AWS.

## Menguji kebijakan IAM dengan API IAM
<a name="determining-access-iam-api"></a>

Anda dapat menggunakan API IAM untuk memeriksa kebijakan IAM secara terprogram. Langkah-langkah berikut memberikan gambaran umum tentang cara melakukannya:

1. Untuk setiap yang Akun AWS terdaftar sebagai prinsipal dalam kebijakan kunci (yaitu, setiap [prinsipal AWS akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) yang ditentukan dalam format ini:`"Principal": {"AWS": "arn:aws:iam::111122223333:root"}`), gunakan [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)dan [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)operasi di API IAM untuk mendapatkan semua pengguna dan peran dalam akun.

1. Untuk setiap pengguna dan peran dalam daftar, gunakan [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)operasi di API IAM, meneruskan parameter berikut:
   + Untuk `PolicySourceArn`, tentukan Amazon Resource Name (ARN) pengguna atau peran dari daftar Anda. Anda hanya dapat menentukan satu `PolicySourceArn` untuk setiap `SimulatePrincipalPolicy` permintaan, jadi Anda harus memanggil operasi ini beberapa kali, sekali untuk setiap pengguna dan peran dalam daftar Anda.
   + Untuk `ActionNames` daftar, tentukan setiap tindakan AWS KMS API yang akan disimulasikan. Untuk mensimulasikan semua tindakan AWS KMS API, gunakan`kms:*`. Untuk menguji tindakan AWS KMS API individual, mendahului setiap tindakan API dengan "`kms:`“, misalnya"”`kms:ListKeys`. Untuk daftar lengkap tindakan AWS KMS API, lihat [Tindakan](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) di *Referensi AWS Key Management Service API*.
   + (Opsional) Untuk menentukan apakah pengguna atau peran memiliki akses ke kunci KMS tertentu, gunakan `ResourceArns` parameter untuk menentukan daftar Nama Sumber Daya Amazon (ARNs) kunci KMS. Untuk menentukan apakah pengguna atau peran memiliki akses ke kunci KMS apa pun, hilangkan parameter. `ResourceArns`

IAM merespons setiap permintaan `SimulatePrincipalPolicy` dengan keputusan evaluasi: `allowed`, `explicitDeny`, atau `implicitDeny`. Untuk setiap respons yang berisi keputusan evaluasi`allowed`, respons menyertakan nama operasi AWS KMS API tertentu yang diizinkan. Ini juga termasuk ARN kunci KMS yang digunakan dalam evaluasi, jika ada.