本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的关键政策 Amazon KMS
密钥策略是的资源策略 Amazon KMS key。密钥政策是控制对 KMS 密钥访问的主要方法。每个 KMS 密钥必须只有一个密钥策略。密钥策略中的语句确定谁有权限使用 KMS 密钥以及如何使用 KMS 密钥。您还可使用 IAM policy 和授权来控制对 KMS 密钥的访问,但每个 KMS 密钥必须有一个密钥策略。
任何 Amazon 委托人(包括账户根用户或密钥创建者)都无权访问 KMS 密钥,除非在密钥策略、IAM 策略或授权中明确允许且从不被拒绝。
除非密钥策略明确允许,否则您不能使用 IAM policy 允许访问 KMS 密钥。未经密钥策略许可,允许权限的 IAM policy 无效。(您可以使用 IAM policy 来拒绝在未经密钥策略许可的情况下对 KMS 密钥的访问权限。) 默认密钥策略启用 IAM policy。若要在密钥策略中启用 IAM policy,请添加 允许访问 Amazon Web Services 账户 并启用 IAM policy 中所述的策略语句。
与全局性的 IAM policy 不同,密钥策略是区域性策略。密钥策略仅控制对同一区域中 KMS 密钥的访问。该策略对其他地区的 KMS 密钥无效。