IAM 策略概述 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 策略概述

您可以通过以下方式使用 IAM 策略:

  • 将权限策略附加到用户或组— 您可以附加允许 IAM 用户或一组用户调用 AWS KMS 操作的策略。

  • 将权限策略附加到角色以获得联合身份或跨账户权限— 您可以将 IAM 策略附加到 IAM 角色以启用联合身份验证,允许跨账户权限,或者向运行在 EC2 实例上的应用程序授予权限。有关 IAM 角色各种使用案例的更多信息,请参阅IAM 角色中的IAM 用户指南

以下示例显示了一个具有 AWS KMS 权限的 IAM 策略。此策略允许附加到其上的 IAM 身份列出所有 CMK 和别名。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }

与所有 IAM 策略一样,此策略没有Principal元素。将 IAM 策略附加到 IAM 用户或 IAM 角色时,用户或角色担任角色的用户获取策略中指定的权限。

有关显示所有 AWS KMS API 操作及其适用的资源的表,请参阅AWS KMS API 权限参考