关键策略中的 Amazon 服务权限 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关键策略中的 Amazon 服务权限

许多 Amazon 服务 Amazon KMS keys 用来保护其管理的资源。在服务使用 Amazon 拥有的密钥Amazon 托管式密钥 时,该服务会为这些 KMS 密钥建立和维护密钥策略。

但是,当您通过 Amazon 服务使用客户托管式密钥时,您可以设置并维护密钥策略。该密钥策略必须允许服务具有代表您保护资源所需的最低权限。建议您遵循最低权限原则:仅授予服务所需的权限。您可以通过了解服务需要哪些权限,并使用 Amazon 全局条件键Amazon KMS 条件键来优化权限,以有效做到这一点。

要查找服务在客户托管式密钥上需要的权限,请参阅该服务的加密文档。例如,有关亚马逊 Elastic Block Store (Amazon EBS) 所需的权限,请参阅亚马逊用户指南和 EC2 亚马逊 EC2 用户指南中的 IAM 用户权限。有关 Secrets Manager 所需的权限,请参阅 Amazon Secrets Manager 用户指南中的授权使用 KMS 密钥