IAM policy 概述 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM policy 概述

您可以通过以下方式使用 IAM policy:

  • 将权限策略附加到角色以启用联合身份验证或跨账户权限 – 您可以将 IAM policy 附加到 IAM 角色以启用联合身份验证,允许跨账户权限,或者向运行在 EC2 实例上的应用程序授予权限。有关 IAM 角色各种使用场景的更多信息,请参阅 IAM 用户指南中的 IAM 角色

  • 将权限策略附加到用户或组 – 您可以附加允许某个用户或用户组调用 Amazon KMS 操作的策略。但是,IAM 最佳实践建议您尽可能使用具有临时凭证的身份,例如 IAM 角色。

以下示例显示了一个具有 Amazon KMS 权限的 IAM policy。此策略允许附加到其上的 IAM 身份获取列出所有 KMS 密钥和别名。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

与所有 IAM policy 一样,此策略没有 Principal 元素。将 IAM policy 附加到 IAM 身份时,该身份将获取策略中指定的权限。

有关显示所有 Amazon KMS API 操作及其适用的资源的表,请参阅 权限参考