中的关键政策 Amazon KMS - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的关键政策 Amazon KMS

密钥策略是的资源策略 Amazon KMS key。密钥策略是控制KMS密钥访问的主要方式。每个KMS密钥必须只有一个密钥策略。密钥策略中的声明决定谁有权使用KMS密钥以及他们如何使用密钥。您也可以使用IAM策略授权来控制对KMS密钥的访问权限,但每个KMS密钥都必须有密钥策略。

任何 Amazon 委托人(包括账户根用户或密钥创建者)都没有对KMS密钥的任何权限,除非在密钥策略、IAM策略或授权中明确允许且从不被拒绝。

除非密钥策略明确允许,否则您不能使用IAM策略来允许访问密KMS钥。未经密钥策略许可,IAM允许权限的策略无效。(未经密钥IAM策略许可,您可以使用策略拒绝对KMS密钥的许可。) 默认密钥策略启用IAM策略。要在密钥IAM策略中启用策略,请添加中描述的策略声明允许访问 Amazon Web Services 账户 并启用IAM策略

与全球性IAM政策不同,关键政策是区域性的。密钥策略仅控制对同一区域内KMS密钥的访问权限。它对其他地区的KMS密钥没有影响。