Amazon KMS 中的密钥策略 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon KMS 中的密钥策略

密钥策略为 Amazon KMS key 的资源策略。密钥策略是控制对 KMS 密钥访问的主要方法。每个 KMS 密钥必须只有一个密钥策略。密钥策略中的语句确定谁有权限使用 KMS 密钥以及如何使用 KMS 密钥。您还可使用 IAM 策略授权来控制对 KMS 密钥的访问,但每个 KMS 密钥必须有一个密钥策略。

除非密钥策略、IAM 策略或授权中明确允许且从未被拒绝,否则任何主体(包括密钥创建者)都没有 KMS 密钥的任何权限。

除非密钥策略明确允许,否则您不能使用 IAM 策略允许访问 KMS 密钥。未经密钥策略许可,允许权限的 IAM 策略无效。(您可以使用 IAM 策略来拒绝在未经密钥策略许可的情况下对 KMS 密钥的访问权限。) 默认密钥策略启用 IAM 策略。若要在密钥策略中启用 IAM 策略,请添加 允许访问 Amazon Web Services 账户 并启用 IAM 策略 中所述的策略语句。

与全局性的 IAM 策略不同,密钥策略是区域性策略。密钥策略仅控制对同一区域中 KMS 密钥的访问。该策略对其他地区的 KMS 密钥无效。