本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 适用于 PHP 的 AWS SDK 版本 3 使用 AWS KMS 密钥策略
在创建 [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) 时,您可以确定能够使用和管理该 KMS 密钥的人员。这些权限包含在名为密钥策略的文档中。您可以随时使用密钥策略添加、移除或修改客户托管 KMS 密钥的权限,但不能编辑托 AWS 管 KMS 密钥的密钥策略。有关更多信息,请参阅 [AWS KMS的身份验证和访问控制](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
以下示例演示如何:
+ 使用列出密钥策略的名称[ListKeyPolicies](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeypolicies)。
+ 使用获取密钥策略[GetKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#getkeypolicy)。
+ 使用设置密钥策略[PutKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#putkeypolicy)。
的所有示例代码都可以在[此 适用于 PHP 的 AWS SDK 处找到 GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 凭据
在运行示例代码之前,请配置您的 AWS 证书,如中所述[AWS 使用 适用于 PHP 的 AWS SDK 版本 3 进行身份验证](credentials.md)。然后导入 适用于 PHP 的 AWS SDK,如中所述[安装 适用于 PHP 的 AWS SDK 版本 3](getting-started_installation.md)。
有关使用 AWS Key Management Service (AWS KMS) 的更多信息,请参阅《[AWS KMS 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 列出所有密钥策略
要获取 KMS 密钥的密钥策略名称,请使用 `ListKeyPolicies` 操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$limit = 10;
try {
$result = $KmsClient->listKeyPolicies([
'KeyId' => $keyId,
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 检索密钥策略
要获取 KMS 密钥的密钥策略,请使用 `GetKeyPolicy` 操作。
`GetKeyPolicy` 需要策略名称。除非您在创建 KMS 密钥时已创建密钥策略,否则,唯一有效的策略名称为默认值。要了解更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[默认密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->getKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 设置密钥策略
要为 KMS 密钥建立或更改密钥策略,请使用 `PutKeyPolicy` 操作。
`PutKeyPolicy` 需要策略名称。除非您在创建 KMS 密钥时已创建密钥策略,否则,唯一有效的策略名称为默认值。要了解更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[默认密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->putKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName,
'Policy' => '{
"Version":"2012-10-17",
"Id": "custom-policy-2016-12-07",
"Statement": [
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/root" },
"Action": [ "kms:*" ],
"Resource": "*" },
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/ExampleUser" },
"Action": [
"kms:Encrypt*",
"kms:GenerateDataKey*",
"kms:Decrypt*",
"kms:DescribeKey*",
"kms:ReEncrypt*"
],
"Resource": "*" }
]
} '
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```