本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用第 3 適用於 PHP 的 AWS SDK 版使用 AWS KMS 金鑰政策
建立 時[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys),您可以判斷誰可以使用和管理該 KMS 金鑰。這些許可包含在稱為金鑰政策的文件中。您可以隨時使用金鑰政策來新增、移除或修改客戶受管 KMS 金鑰的許可,但您無法編輯 AWS 受管 KMS 金鑰的金鑰政策。如需詳細資訊,請參閱 [的身分驗證和存取控制 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
下列範例示範如何:
+ 使用 [ListKeyPolicies](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeypolicies) 列出金鑰政策的名稱。
+ 使用 [GetKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#getkeypolicy) 取得金鑰政策。
+ 使用 [PutKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#putkeypolicy) 設定金鑰政策。
您可以在 GitHub 上 適用於 PHP 的 AWS SDK 取得 的所有範例程式碼。 [ GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)
## 憑證
在執行範例程式碼之前,請先設定您的 AWS 登入資料,如中所述[AWS 使用第 3 適用於 PHP 的 AWS SDK 版向 驗證](credentials.md)。然後匯入 適用於 PHP 的 AWS SDK,如 中所述[安裝第 3 適用於 PHP 的 AWS SDK 版](getting-started_installation.md)。
如需使用 AWS Key Management Service (AWS KMS) 的詳細資訊,請參閱 [AWS KMS 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 列出所有金鑰政策
若要取得 KMS 金鑰的金鑰政策名稱,請使用 `ListKeyPolicies`操作。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$limit = 10;
try {
$result = $KmsClient->listKeyPolicies([
'KeyId' => $keyId,
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 擷取金鑰政策
若要取得 KMS 金鑰的金鑰政策,請使用 `GetKeyPolicy`操作。
`GetKeyPolicy` 需要政策名稱。除非您在建立 KMS 金鑰時建立金鑰政策,否則唯一的有效政策名稱為預設值。進一步了解《 *AWS Key Management Service 開發人員指南*》中的[預設金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->getKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 設定金鑰政策
若要建立或變更 KMS 金鑰的金鑰政策,請使用 `PutKeyPolicy`操作。
`PutKeyPolicy` 需要政策名稱。除非您在建立 KMS 金鑰時建立金鑰政策,否則唯一的有效政策名稱為預設值。進一步了解《 *AWS Key Management Service 開發人員指南*》中的[預設金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->putKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName,
'Policy' => '{
"Version":"2012-10-17",
"Id": "custom-policy-2016-12-07",
"Statement": [
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/root" },
"Action": [ "kms:*" ],
"Resource": "*" },
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/ExampleUser" },
"Action": [
"kms:Encrypt*",
"kms:GenerateDataKey*",
"kms:Decrypt*",
"kms:DescribeKey*",
"kms:ReEncrypt*"
],
"Resource": "*" }
]
} '
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```