查看密钥政策
您可以使用 AWS KMS 控制台或通过 AWS KMS API 的 GetKeyPolicy 操作,查看您账户中 AWS KMS 客户自主管理型密钥或 AWS 托管式密钥的密钥策略。但这些技术不能用于查看其他 AWS 账户 中的 KMS 密钥的密钥策略。
要了解有关 AWS KMS 密钥策略的更多信息,请参阅AWS KMS 中的密钥策略。要了解如何确定哪些用户和角色有权访问 KMS 密钥,请参阅 确定对 AWS KMS keys 的访问权限。
授权用户可以在 AWS 管理控制台 的 Key policy(密钥策略)选项卡上查看 AWS 托管式密钥 或客户托管密钥的密钥策略。
要在 AWS 管理控制台中查看 KMS 密钥的密钥策略,您必须具有 kms:ListAliases、kms:DescribeKey 和 kms:GetKeyPolicy 权限。
-
登录到 AWS 管理控制台,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
要查看您账户中 AWS 为您所创建和管理的密钥,请在导航窗格中选择 AWS managed keys(Amazon 托管式密钥)。要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。
-
在 KMS 密钥列表中,选择要检查的 KMS 密钥的别名或密钥 ID。
-
选择 Key policy (密钥策略) 选项卡。
在 Key policy(密钥策略)选项卡中,您可能会看到密钥策略文档。这是策略视图。在密钥策略语句中,可以看到由密钥策略授予 KMS 密钥访问权限的委托人,还可以看到他们能执行的操作。
以下示例显示了默认密钥策略的策略视图。
或者,如果 KMS 密钥是在 AWS 管理控制台 中创建的,那么您将看到默认视图,其中包含 Key administrators(密钥管理员)、Key deletion(密钥删除)和 Key Users(密钥用户)几个部分。要查看密钥策略文档,请选择 Switch to policy view (切换到策略视图)。
以下示例显示了默认密钥策略的默认视图。
要获取您的 AWS 账户 中 KMS 密钥的密钥策略,请使用 AWS KMS API 中的 GetKeyPolicy 操作。此操作不能用于查看其他帐户中的密钥策略。
下面的示例使用了 AWS Command Line Interface (AWS CLI) 中的 get-key-policy 命令,但您可以使用任何 AWS 开发工具包提出此请求。
请注意,PolicyName 参数是必需的,即使其唯一的有效值为 default。此外,此命令请求以文本而不是 JSON 形式输出,以便更易于查看。
在运行此命令之前,请将示例密钥 ID 替换为您账户中的有效密钥 ID。
$aws kms get-key-policy --key-id1234abcd-12ab-34cd-56ef-1234567890ab--policy-name default --output text
响应应类似于下图,返回默认密钥策略。
