结合 IAM policy 和 Amazon KMS - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

结合 IAM policy 和 Amazon KMS

您可以使用 IAM policy 以及密钥策略授权VPC 端点策略来在 Amazon KMS 中控制对您的 Amazon KMS keys 的访问权限。

注意

要使用 IAM policy 控制对 KMS 密钥的访问,KMS 密钥的密钥政策必须授予账户使用 IAM policy 的权限。具体而言,密钥策略必须包含启用 IAM policy 的策略语句

本节介绍如何使用 IAM policy 控制对 Amazon KMS 操作的访问。有关 IAM 的更多一般信息,请参阅 IAM 用户指南

所有 KMS 密钥都必须具有密钥策略。IAM policy 是可选的。要使用 IAM policy 控制对 KMS 密钥的访问,KMS 密钥的密钥政策必须授予账户使用 IAM policy 的权限。具体而言,密钥策略必须包含启用 IAM policy 的策略语句

IAM policy 可以控制对任何 Amazon KMS 操作的访问。与密钥策略不同,IAM policy 可以控制对多个 KMS 密钥的访问,并为多个相关 Amazon 服务的操作提供权限。但是,IAM 策略对于控制对操作的访问特别有用 CreateKey,例如无法由密钥策略控制的操作,因为它们不涉及任何特定的 KMS 密钥。

如果您通过 Amazon Virtual Private Cloud (Amazon VPC) 终端节点访问 Amazon KMS,您还可以在使用 VPC 终端节点时使用该终端节点的策略来限制对 Amazon KMS 资源的访问。例如,使用 VPC 终端节点时,您可能只允许 Amazon Web Services 账户 中的委托人访问您的客户托管密钥。有关更多信息,请参阅 控制对 VPC 终端节点的访问

有关编写和格式化 JSON 策略文档的帮助,请参阅 IAM 用户指南中的 IAM JSON 策略参考