本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 變更金鑰政策
<a name="key-policy-modifying"></a>

您可以使用 AWS 管理主控台 或 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 操作 AWS 帳戶 來變更 中 KMS 金鑰的金鑰政策。您無法使用這些技術變更不同 AWS 帳戶中 KMS 金鑰的金鑰政策。

變更金鑰政策時，請注意以下規則：
+ 您可以檢視 [AWS 受管金鑰](concepts.md#aws-managed-key) 或[客戶受管金鑰](concepts.md#customer-mgn-key)的金鑰政策，但只能變更客戶受管金鑰的金鑰政策。的政策 AWS 受管金鑰 是由在您帳戶中建立 KMS 金鑰 AWS 的服務所建立和管理。您無法檢視或變更 [AWS 擁有的金鑰](concepts.md#aws-owned-key) 的金鑰政策。
+ 您可以在金鑰政策 AWS 帳戶 中新增或移除 IAM 使用者、IAM 角色和 ，並變更這些主體允許或拒絕的動作。如需在金鑰政策中指定主體和許可之方式的詳細資訊，請參閱[金鑰政策](key-policies.md)。
+ 您不能新增 IAM 群組到金鑰政策，但您可以新增多個 IAM 使用者和 IAM 角色。如需詳細資訊，請參閱[允許多個 IAM 主體存取 KMS 金鑰](iam-policies.md#key-policy-modifying-multiple-iam-users)。
+ 如果您將 新增至金鑰政策 AWS 帳戶 的外部，您還必須在外部帳戶中使用 IAM 政策，將許可授予這些帳戶中的 IAM 使用者、群組或角色。如需詳細資訊，請參閱[允許其他帳戶中的使用者使用 KMS 金鑰](key-policy-modifying-external-accounts.md)。
+ 產生的金鑰政策文件不能超過 32 KB (32,768 位元組)。

## 如何變更金鑰政策
<a name="key-policy-modifying-how-to"></a>

變更金鑰政策有三種方法，如以下章節所述。

**Topics**
+ [使用 AWS 管理主控台 預設檢視](#key-policy-modifying-how-to-console-default-view)
+ [使用 AWS 管理主控台 政策檢視](#key-policy-modifying-how-to-console-policy-view)
+ [使用 AWS KMS API](#key-policy-modifying-how-to-api)

### 使用 AWS 管理主控台 預設檢視
<a name="key-policy-modifying-how-to-console-default-view"></a>

您可以使用主控台，以稱為*預設檢視*的圖形界面來變更金鑰政策。

如果以下步驟不符合您在主控台中看到的步驟，可能表示此金鑰政策不是使用主控台所建立的。也可能表示主控台的預設檢視不支援修改後的金鑰政策。在這種情況下，請遵循[使用 AWS 管理主控台 政策檢視](#key-policy-modifying-how-to-console-policy-view)或[使用 AWS KMS API](#key-policy-modifying-how-to-api) 中的步驟進行。

1. 請依 [使用 AWS KMS 主控台](key-policy-viewing.md#key-policy-viewing-console) 所述，檢視客戶受管金鑰的金鑰政策。（您無法變更 的金鑰政策 AWS 受管金鑰。)

1. 決定進行哪些變更。
   + 若要新增或移除[金鑰管理員](key-policy-default.md#key-policy-default-allow-administrators)，以及允許或不允許金鑰管理員[刪除 KMS 金鑰](deleting-keys.md)，請使用頁面上的 **Key administrators** (金鑰管理員) 區段中的控制項。金鑰管理員負責管理 KMS 金鑰，包括啟用和停用它、設定金鑰政策，以及[啟用金鑰輪換](rotate-keys.md)。
   + 若要新增或移除[金鑰使用者](key-policy-default.md#key-policy-default-allow-users)，以及允許或不允許外部 AWS 帳戶 使用 KMS 金鑰，請使用頁面**金鑰使用者**區段中的控制項。金鑰使用者可以在[密碼編譯操作](kms-cryptography.md#cryptographic-operations)中使用 KMS 金鑰，例如加密、解密、重新加密和產生資料金鑰。

### 使用 AWS 管理主控台 政策檢視
<a name="key-policy-modifying-how-to-console-policy-view"></a>

您可以使用主控台的「政策檢視」**來變更金鑰政策文件。

1. 請依 [使用 AWS KMS 主控台](key-policy-viewing.md#key-policy-viewing-console) 所述，檢視客戶受管 KMS 金鑰的金鑰政策。（您無法變更 的金鑰政策 AWS 受管金鑰。)

1. 在**金鑰政策**區段中，選擇**切換為政策檢視**。

1. 選擇**編輯**。

1. 決定進行哪些變更。
   + 若要新增陳述式，請選擇**新增陳述式**。然後，您可以從陳述式建置器面板中列出的選項中選取新金鑰政策陳述式的動作、主體和條件，或手動輸入政策陳述式元素。
   + 若要從您的金鑰政策中移除陳述式，請選取陳述式，然後選擇**移除**。檢閱選取的政策陳述式，並確認您想要將其移除。如果您決定不想繼續移除陳述式，請選擇**取消**。
   + 若要編輯現有的金鑰政策陳述式，請選取陳述式。然後，您可以使用陳述式建置器面板來選擇您要修改的特定元素，或手動編輯陳述式。

1. 選擇**儲存變更**。

### 使用 AWS KMS API
<a name="key-policy-modifying-how-to-api"></a>

您可以使用 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 操作來變更 中 KMS 金鑰的金鑰政策 AWS 帳戶。您無法對其他 AWS 帳戶中的 KMS 金鑰使用此 API。

1. 使用 [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 操作取得現有的金鑰政策文件，然後將金鑰政策文件儲存至檔案。如需多種程式設計語言的範例程式碼，請參閱[`GetKeyPolicy` 搭配 AWS SDK 或 CLI 使用](example_kms_GetKeyPolicy_section.md)。

1. 在您偏好的文字編輯器中開啟金鑰政策文件、編輯金鑰政策文件，然後儲存檔案。

1. 使用 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 操作將更新的金鑰政策文件套用到 KMS 金鑰。如需多種程式設計語言的範例程式碼，請參閱[`PutKeyPolicy` 搭配 AWS SDK 或 CLI 使用](example_kms_PutKeyPolicy_section.md)。

如需將金鑰政策從一個 KMS 金鑰複製到另一個的範例，請參閱《 AWS CLI 命令參考》中的 [GetKeyPolicy 範例](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html#examples)。