Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Bagikan kunci KMS yang digunakan untuk mengenkripsi snapshot Amazon EBS bersama Saat Anda berbagi snapshot terenkripsi, Anda juga harus berbagi kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi snapshot. Anda dapat menerapkan izin lintas akun ke kunci yang dikelola pelanggan baik saat dibuat atau di lain waktu. Pengguna kunci yang dikelola pelanggan bersama Anda yang mengakses snapshot terenkripsi harus diberikan izin untuk melakukan tindakan berikut pada kunci tersebut: + `kms:DescribeKey` + `kms:CreateGrant` + `kms:GenerateDataKey` + `kms:GenerateDataKeyWithoutPlaintext` + `kms:ReEncrypt` + `kms:Decrypt` **Tip** Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke `kms:CreateGrant`. Sebagai gantinya, gunakan tombol `kms:GrantIsForAWSResource` kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh layanan. AWS Untuk informasi selengkapnya tentang mengontrol akses ke kunci yang dikelola pelanggan, lihat [Menggunakan kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan Developer AWS Key Management Service *. **Untuk berbagi kunci terkelola pelanggan menggunakan AWS KMS konsol** 1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). 1. Untuk mengubah AWS Region, gunakan pemilih Wilayah di sudut kanan atas halaman. 1. Pilih **Kunci yang dikelola pelanggan** di panel navigasi. 1. Di kolom **Alias**, pilih alias (tautan teks) dari kunci yang dikelola pelanggan yang Anda gunakan untuk mengenkripsi snapshot. Detail kunci terbuka di halaman baru. 1. Di bagian **Kebijakan kunci**, Anda melihat *tampilan kebijakan* atau *tampilan default*. Tampilan kebijakan menampilkan dokumen kebijakan kunci. Tampilan default menampilkan bagian untuk **Administrator kunci**, **Penghapusan kunci**, **Penggunaan Kunci**, dan **Akun AWS lainnya**. Tampilan default ditampilkan jika Anda membuat kebijakan di konsol dan belum menyesuaikannya. Jika tampilan default tidak tersedia, Anda perlu mengedit kebijakan secara manual dalam tampilan kebijakan. Untuk informasi selengkapnya, lihat [Melihat Kebijakan Kunci (Konsol)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console) dalam *AWS Key Management Service Panduan Developer*. Gunakan tampilan kebijakan atau tampilan default, bergantung pada tampilan mana yang dapat Anda akses, untuk menambahkan satu atau beberapa AWS akun IDs ke kebijakan, sebagai berikut: + (Tampilan kebijakan) Pilih **Edit**. Tambahkan satu atau beberapa AWS akun IDs ke pernyataan berikut: `"Allow use of the key"` dan`"Allow attachment of persistent resources"`. Pilih **Simpan perubahan**. Dalam contoh berikut, ID AWS akun `444455556666` ditambahkan ke kebijakan. ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::{{111122223333}}:user/{{KeyUser}}", "arn:aws:iam::{{444455556666}}:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::{{111122223333}}:user/{{KeyUser}}", "arn:aws:iam::{{444455556666}}:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` + (Tampilan default) Gulir ke bawah ke ** AWS akun lain**. Pilih **Tambahkan AWS akun lain** dan masukkan ID AWS akun seperti yang diminta. Untuk menambahkan akun lain, pilih **Tambahkan AWS akun lain** dan masukkan ID AWS akun. Setelah Anda menambahkan semua akun AWS , pilih **Simpan perubahan**.