适用于高级用户的 AWS 托管策略 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于高级用户的 AWS 托管策略

您可以使用AWS 托管策略为您账户中的 IAM 委托人授予高级用户的权限。高级用户可以创建 CMK、使用和管理他们创建的 CMK 以及查看所有 CMK 和 IAM 身份。

注意

此策略给高级用户kms:DescribeKey权限,具有允许操作的密钥策略。这可能包括不受信任的 AWS 账户中的 CMK。有关详细信息,请参阅 IAM 策略的最佳实践

此策略授予超级用户标记和取消标记资源以及创建和删除别名的权限。更改标记或别名可以允许或拒绝使用和管理 CMK 的权限。有关详细信息,请参阅 使用适用于 AWS KMS 的 ABAC

这些区域有:AWS 密钥管理服务高级用户托管策略包含以下权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
  • 允许用户创建 CMK。由于此过程包括设置密钥策略,因此高级用户可以授予自己和其他人使用和管理他们创建的 CMK 的权限。

  • 允许用户创建和删除别名标签在所有 CMK 上。

  • 允许用户获取有关所有 CMK 的详细信息,包括其密钥 ARN、加密配置、密钥策略、别名、标记和旋转状态

  • 允许用户列出 IAM 用户、组和角色。

  • 此策略不授予这些用户使用或管理他们未创建的 CMK 的权限,尽管他们可以管理所有 CMK 上的别名和标签。

具有AWSKeyManagementServicePowerUser托管策略还可以从其他来源获取权限,包括关键策略、其他 IAM 策略和授权。