针对高级用户的 Amazon 托管策略 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

针对高级用户的 Amazon 托管策略

您可以使用 Amazon 托管式策略为您账户中的 IAM 主体授予高级用户的权限。高级用户可以创建 KMS 密钥、使用和管理他们创建的 KMS 密钥,以及查看所有 KMS 密钥和 IAM 身份。

注意

此策略授予高级用户对任何 KMS 密钥执行 kms:DescribeKey 操作的权限,以及允许该操作的密钥策略。这可能包括不可信的 Amazon Web Services 账户 中的 KMS 密钥。有关详细信息,请参阅IAM 策略的最佳实践

此策略授予高级用户标记和取消标记资源以及创建和删除别名的权限。更改标签或别名可以允许或拒绝使用和管理 KMS 密钥的权限。有关详细信息,请参阅Amazon KMS 中的 ABAC

AWSKeyManagementServicePowerUser 托管策略包括以下权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
  • 允许用户创建 KMS 密钥。由于此过程包括设置密钥策略,因此高级用户可以授予自己和其他人使用和管理他们创建的 KMS 密钥的权限。

  • 允许用户创建和删除所有 KMS 密钥上的别名标签

  • 允许用户获取有关所有 KMS 密钥的详细信息,包括其密钥 ARN、加密配置、密钥策略、别名、标记和轮换状态

  • 允许用户列出 IAM 用户、组和角色。

  • 此策略不授予这些用户使用或管理他们未创建的 KMS 密钥的权限,尽管他们可以管理所有 KMS 密钥上的别名和标签。

具有 AWSKeyManagementServicePowerUser 托管策略的用户还可以从其他来源获取权限,包括密钥策略、其他 IAM 策略和授权。