IAM policy 的最佳实践

尽可能在影响一个 KMS 密钥的密钥策略中提供权限，而不是在可应用于许多 KMS 密钥的 IAM policy 中提供权限，包括其他 Amazon Web Services 账户 中的权限。这对于诸如 kms: PutKeyPolicy 和 kms: 之类的敏感权限尤其重要，对于决定如何保护数据的加密操作ScheduleKeyDeletion也是如此。

仅向有需要的委托人授予创建密钥 (kms: CreateKey) 的权限。创建 KMS 密钥的委托人还会设置其密钥策略，以便他们可以授予自己和其他人使用和管理他们创建的 KMS 密钥的权限。允许此权限时，请考虑通过使用策略条件限制它。例如，您可以使用 kms: KeySpec 条件来限制对称加密 KMS 密钥的权限。

最佳实践是在策略语句的 Resource 元素中指定权限所应用到的每个 KMS 密钥的密钥 ARN。此实践限制委托人需要的 KMS 密钥的权限。例如，此 Resource 元素仅列出主体需要使用的 KMS 密钥。

"Resource": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
]

当指定 KMS 密钥不切实际时，请使用限制对可信 Amazon Web Services 账户 和区域中的 KMS 密钥的访问的 Resource 值，如 arn:aws:kms:region:account:key/*。或者限制对可信 Amazon Web Services 账户 的所有区域 (*) 中的 KMS 密钥的访问，例如 arn:aws:kms:*:account:key/*。

您无法使用密钥 ID、别名名称或者别名 ARN 表示 IAM policy 的 Resource 字段中的 KMS 密钥。如果您指定别名 ARN，则策略将应用于别名，而不是 KMS 密钥。有关别名的 IAM policy 的信息，请参阅。控制对别名的访问

谨慎地使用通配符 (*)。在密钥策略中，Resource 元素中的通配符表示密钥策略附加到的 KMS 密钥。但是，在 IAM policy 中，单独出现在 Resource 元素 ("Resource": "*") 中的通配符将权限应用于所有 Amazon Web Services 账户 中委托人账户有权使用的所有 KMS 密钥。这可能包括：其他 Amazon Web Services 账户 中的 KMS 密钥，以及委托人账户中的 KMS 密钥。

例如，要在另一个 Amazon Web Services 账户 中使用 KMS 密钥，委托人需要来自外部账户中 KMS 密钥的密钥策略以及其自己账户中的 IAM policy 的权限。假设一个任意账户授予了您对其 KMS 密钥的 Amazon Web Services 账户 kms:Decrypt 权限。若如此，您账户中授予角色对所有 KMS 密钥 ("Resource": "*") 的 kms:Decrypt 权限的 IAM policy 将满足要求的 IAM 部分。因此，可以担任该角色的委托人现在可以使用不可信账户中的 KMS 密钥解密密文。他们的操作条目会出现在两个账户的 CloudTrail 日志中。

特别是，避免在允许以下 API 操作的策略语句中使用 "Resource": "*"。可以对其他 Amazon Web Services 账户 中的 KMS 密钥调用这些操作。

在 IAM policy 中，仅将 Resource 元素中的通配符用于需要它的权限。只有以下权限才需要 "Resource": "*" 元素。