本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的关键政策 Amazon KMS
密钥策略是的资源策略 Amazon KMS key。密钥策略是控制KMS密钥访问的主要方式。每个KMS密钥必须只有一个密钥策略。密钥策略中的声明决定谁有权使用KMS密钥以及他们如何使用密钥。您也可以使用IAM策略和授权来控制对KMS密钥的访问权限,但每个KMS密钥都必须有密钥策略。
任何 Amazon 委托人(包括账户根用户或密钥创建者)都没有对KMS密钥的任何权限,除非在密钥策略、IAM策略或授权中明确允许且从不被拒绝。
除非密钥策略明确允许,否则您不能使用IAM策略来允许访问密KMS钥。未经密钥策略许可,IAM允许权限的策略无效。(未经密钥IAM策略许可,您可以使用策略拒绝对KMS密钥的许可。) 默认密钥策略启用IAM策略。要在密钥IAM策略中启用策略,请添加中描述的策略声明允许访问 Amazon Web Services 账户 并启用IAM策略。
与全球性IAM政策不同,关键政策是区域性的。密钥策略仅控制对同一区域内KMS密钥的访问权限。它对其他地区的KMS密钥没有影响。