本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 中的关键政策 Amazon KMS
<a name="key-policies"></a>

密钥策略是的资源策略 Amazon KMS key。密钥政策是控制对 KMS 密钥访问的主要方法。每个 KMS 密钥必须只有一个密钥策略。密钥策略中的语句确定谁有权限使用 KMS 密钥以及如何使用 KMS 密钥。您还可使用 [IAM policy](iam-policies.md) 和[授权](grants.md)来控制对 KMS 密钥的访问，但每个 KMS 密钥必须有一个密钥策略。

任何 Amazon 委托人（包括账户根用户或密钥创建者）都无权访问 KMS 密钥，除非在密钥策略、IAM 策略或授权中明确允许且从不被拒绝。

除非密钥策略明确允许，否则您不能使用 IAM policy *允许*访问 KMS 密钥。未经密钥策略许可，允许权限的 IAM policy 无效。（您可以使用 IAM policy 来*拒绝*在未经密钥策略许可的情况下对 KMS 密钥的访问权限。） 默认密钥策略启用 IAM policy。若要在密钥策略中启用 IAM policy，请添加 [允许访问 Amazon Web Services 账户 并启用 IAM 策略](key-policy-default.md#key-policy-default-allow-root-enable-iam) 中所述的策略语句。

与全局性的 IAM policy 不同，密钥策略是区域性策略。密钥策略仅控制对同一区域中 KMS 密钥的访问。该策略对其他地区的 KMS 密钥无效。

**Topics**
+ [创建密钥策略](key-policy-overview.md)
+ [默认密钥策略](key-policy-default.md)
+ [查看密钥政策](key-policy-viewing.md)
+ [更改密钥政策](key-policy-modifying.md)
+ [Amazon 服务权限](key-policy-services.md)