控制对授权的访问
您可以控制对在密钥策略、IAM policy 和授权中创建和管理授权的操作的访问权限。从授权中获得 CreateGrant 权限的委托人具有更有限的授权权限。
| API 操作 | 密钥策略或 IAM policy | 授权 |
|---|---|---|
| CreateGrant | ✓ | ✓ |
| ListGrants | ✓ | - |
| ListRetirableGrants | ✓ | - |
| 停用授权 | (有限。请参阅 停用和撤销授权) | ✓ |
| RevokeGrant | ✓ | - |
您在使用密钥策略或 IAM policy 以控制对创建和管理授权的操作的访问时,可以使用一个或多个以下策略条件来限制权限。Amazon KMS 支持以下所有与授权相关的条件键。有关详细信息和示例,请参阅 Amazon KMS 条件键。
- kms:GrantConstraintType
-
允许委托人仅在授权包含指定的授权约束时创建授权。
- kms:GrantIsForAWSResource
-
仅在仅在与 Amazon KMS 集成的 Amazon 服务
代表主体发送请求时允许主体调用 CreateGrant、ListGrants或RevokeGrant。 - kms:GrantOperations
-
允许委托人创建授权,但将授权限制为指定操作。
- kms:GranteePrincipal
-
允许委托人仅为指定的被授权者委托人创建授权。
- kms:RetiringPrincipal
-
允许委托人仅在授权指定特定的停用委托人时创建授权。