在 CloudTrail 控制台中创建的默认KMS密钥策略 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 CloudTrail 控制台中创建的默认KMS密钥策略

如果您在 CloudTrail 控制台 Amazon KMS key 中创建,则会自动为您创建以下策略。该策略允许以下权限:

  • 允许使用KMS密钥的 Amazon Web Services 账户 (root)权限。

  • CloudTrail 允许加密密KMS钥下的日志文件并描述KMS密钥。

  • 允许指定账户中的所有用户解密日志文件。

  • 允许指定账户中的所有用户为KMS密钥创建KMS别名。

  • 为创建跟踪的账户的账户 ID 启用跨账户日志解密。

跟踪的默认KMS密钥策略

以下是为您在跟踪中使用的创建的默认策略。 Amazon KMS key

注意

该策略包括一项声明,允许跨账户使用密钥解密日志文件。KMS