Amazon KMS 中的密钥策略 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon KMS 中的密钥策略

密钥策略为 Amazon KMS key 的资源策略。密钥政策是控制对 KMS 密钥访问的主要方法。每个 KMS 密钥必须只有一个密钥策略。密钥策略中的语句确定谁有权限使用 KMS 密钥以及如何使用 KMS 密钥。您还可使用 IAM policy授权来控制对 KMS 密钥的访问,但每个 KMS 密钥必须有一个密钥策略。

除非密钥策略、IAM policy 或授权中明确允许且从未被拒绝,否则任何 Amazon 主体(包括账户根用户或密钥创建者)都没有 KMS 密钥的任何权限。

除非密钥策略明确允许,否则您不能使用 IAM policy 允许访问 KMS 密钥。未经密钥策略许可,允许权限的 IAM policy 无效。(您可以使用 IAM policy 来拒绝在未经密钥策略许可的情况下对 KMS 密钥的访问权限。) 默认密钥策略启用 IAM policy。若要在密钥策略中启用 IAM policy,请添加 允许访问 Amazon Web Services 账户 并启用 IAM policy 中所述的策略语句。

与全局性的 IAM policy 不同,密钥策略是区域性策略。密钥策略仅控制对同一区域中 KMS 密钥的访问。该策略对其他地区的 KMS 密钥无效。