将 IAM 策略与Amazon KMS - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 IAM 策略与Amazon KMS

您可以使用 IAM 策略以及密钥策略Grants, 和VPC 终端节点策略,以控制对客户主密钥 (CMK) 的访问。Amazon KMS。

注意

要使用 IAM 策略控制对 CMK 的访问,CMK 的密钥策略必须授予账户使用 IAM 策略的权限。具体而言,密钥策略必须包含启用 IAM 策略的策略声明

本节介绍如何使用 IAM 策略来控制对Amazon KMS操作。有关 IAM 的一般信息,请参阅IAM 用户指南

所有 CMK 都必须具有密钥策略。IAM 策略是可选的。要使用 IAM 策略控制对 CMK 的访问,CMK 的密钥策略必须授予账户使用 IAM 策略的权限。具体而言,密钥策略必须包含启用 IAM 策略的策略声明

IAM 策略可以控制对任何Amazon KMSoperation. 与密钥策略不同,IAM 策略可以控制对多个 CMK 的访问,并为多个相关的操作提供权限Amazon服务。但 IAM 策略对于控制对操作的访问特别有用,例如CreateKey,它不能由密钥策略控制,因为它们不涉及任何特定的 CMK。

如果您访问Amazon KMS通过 Amazon Virtual Private Cloud (Amazon VPC) 终端节点,您还可以使用 VPC 终端节点策略来限制对Amazon KMS资源时使用终端节点。例如,当使用 VPC 终端节点时,您可能只允许 Amazon Web Services 账户 访问您的 CMK。有关详细信息,请参阅 控制对 VPC 终端节点的访问

有关编写和格式化 JSON 策略文档的帮助,请参阅IAM JSON 策略参考中的IAM 用户指南