本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon KMS 权限
此表旨在帮助您了解 Amazon KMS 权限,以便您可以控制对 Amazon KMS 资源的访问权限。表格下方会显示列标题的定义。
您还可以在服务授权参考 Amazon Key Management Service主题的操作、资源和条件键中了解 Amazon KMS 权限。但是,该主题并未列出可用于优化每个权限的所有条件键。
有关对称加密KMS密钥、非KMS对称密钥和HMACKMS密钥哪些 Amazon KMS 操作有效的更多信息,请参阅。密钥类型引用
注意
您可能需要水平或垂直滚动才能查看表中的所有数据。
操作和权限 | 策略类型 | 跨账户使用 | 资源(用于IAM政策) | Amazon KMS 条件键 |
---|---|---|---|---|
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
ConnectCustomKeyStore
|
IAM政策 | 否 |
|
|
要使用此操作,调用方需要对以下两个资源具有
有关详细信息,请参阅控制对别名的访问。 |
IAM 策略(适用于别名) |
否 |
别名 |
无(控制对别名的访问时) |
密钥策略(针对KMS密钥) |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
CreateCustomKeyStore
|
IAM政策 | 否 |
|
|
|
密钥策略 |
是 |
KMS钥匙 |
加密上下文条件: 授予条件: KMS关键操作的条件: |
|
IAM政策 |
否 |
|
kms: BypassPolicyLockoutSafetyCheck a@@ ws:RequestTag/tag-key(Amazon 全局条件密钥) a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) a@@ ws: TagKeys(Amazon 全局条件密钥) |
|
密钥策略 |
是 |
KMS钥匙 |
加密操作的条件 加密上下文条件: KMS关键操作的条件: |
要使用此操作,调用方需要对以下两个资源具有
有关详细信息,请参阅控制对别名的访问。 |
IAM 策略(适用于别名) |
否 |
别名 |
无(控制对别名的访问时) |
密钥策略(针对KMS密钥) |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
DeleteCustomKeyStore
|
IAM政策 | 否 |
|
|
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
DedriveSharedSecret
|
密钥策略 | 是 | KMS钥匙 | KMS关键操作的条件: 加密操作的条件: |
DescribeCustomKeyStores
|
IAM政策 | 否 |
|
|
|
密钥策略 |
是 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
DisconnectCustomKeyStore
|
IAM政策 | 否 |
|
|
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 自动密钥轮换条件: |
|
密钥策略 |
是 |
KMS钥匙 |
加密操作的条件 加密上下文条件: KMS关键操作的条件: |
|
密钥策略 |
是 |
KMS钥匙 |
加密操作的条件 加密上下文条件: KMS关键操作的条件: |
|
密钥策略 |
是 |
KMS钥匙 生成受对称加密KMS密钥保护的非对称数据密钥对。 |
数据密钥对的条件: 加密操作的条件 加密上下文条件: KMS关键操作的条件: |
GenerateDataKeyPairWithoutPlaintext
|
密钥策略 |
是 |
KMS钥匙 生成受对称加密KMS密钥保护的非对称数据密钥对。 |
数据密钥对的条件: 加密操作的条件 加密上下文条件: KMS关键操作的条件: |
GenerateDataKeyWithoutPlaintext
|
密钥策略 |
是 |
KMS钥匙 |
加密操作的条件 加密上下文条件: KMS关键操作的条件: |
GenerateMac
|
密钥策略 | 是 | KMS钥匙 | KMS关键操作的条件: 加密操作的条件: |
|
IAM政策 |
不适用 |
|
无 |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
是 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
是 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: kms: ExpirationModel |
|
IAM政策 |
否 |
|
无 |
|
密钥策略 |
是 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
IAM政策 |
否 |
|
无 |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
IAM政策 |
指定的委托人必须位于本地账户中,但操作将返回所有账户中的授权。 |
|
无 |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: |
要使用此操作,调用者需要两个按KMS键的权限:
|
密钥策略 |
是 |
KMS钥匙 |
加密操作的条件 加密上下文条件: KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: |
要使用此操作,调用方需要具有以下权限:
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: |
撤销授予的权限主要由授予决定。单独的策略无法允许访问此操作。有关更多信息,请参阅 停用和撤销授权。 |
IAM政策 (此权限在密钥策略中无效。) |
是 |
KMS钥匙 |
加密上下文条件: 授予条件: KMS关键操作的条件: |
|
密钥策略 |
是 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
密钥策略 |
是 |
KMS钥匙 |
签名和验证条件: kms: RequestAliasKMS关键操作的条件: |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 标记条件: a@@ ws:RequestTag/tag-key(Amazon 全局条件密钥) a@@ ws: TagKeys(Amazon 全局条件密钥) |
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 标记条件: a@@ ws:RequestTag/tag-key(Amazon 全局条件密钥) a@@ ws: TagKeys(Amazon 全局条件密钥) |
要使用此操作,调用方需要对以下三个资源具有
有关详细信息,请参阅控制对别名的访问。 |
IAM 策略(适用于别名) |
否 |
别名 |
无(控制对别名的访问时) |
密钥策略(针对KMS密钥) |
否 |
KMS钥匙 |
KMS关键操作的条件: |
|
UpdateCustomKeyStore
|
IAM政策 | 否 |
|
|
|
密钥策略 |
否 |
KMS钥匙 |
KMS关键操作的条件: |
要使用此操作,调用方需要对将成为副本密钥的多区域主键和将成为主键的多区域副本密钥同时具有 |
密钥策略 |
否 | KMS钥匙 |
KMS关键操作的条件: a@@ ws:ResourceTag/tag-key(Amazon 全局条件密钥) 其他条件 |
|
密钥策略 |
是 | KMS钥匙 |
签名和验证条件: kms: RequestAliasKMS关键操作的条件: |
VerifyMac
|
密钥策略 | 是 | KMS钥匙 | KMS关键操作的条件: 加密操作的条件: |
列描述
此表中的各列提供以下信息:
-
操作和权限列出了每项 Amazon KMS API操作以及允许该操作的权限。您可以在策略语句的
Action
元素中指定操作。 -
策略类型指明该权限是否可以在密钥策略或IAM策略中使用。
密钥策略意味着您可以在密钥策略中指定权限。当密钥策略包含启用IAM策略的策略声明时,您可以在IAM策略中指定权限。
IAM策略意味着您只能在IAM策略中指定权限。
-
跨账户使用显示了授权用户可以对其他 Amazon Web Services 账户中的资源执行的操作。
值 Yes(是)表示委托人可以对其他 Amazon Web Services 账户中的资源执行操作。
值 No(否)表示委托人只能对其自己的 Amazon Web Services 账户中的资源执行操作。
如果您为不同账户中的委托人授予一个不能在跨账户资源上使用的权限,则该权限将无效。例如,如果您向其他账户的委托人授予您账户中密KMS钥的TagResource权限 kms:,则他们尝试在您的账户中标记该KMS密钥将失败。
-
资源列出了权限适用的 Amazon KMS 资源。 Amazon KMS 支持两种资源类型:密KMS钥和别名。在密钥策略中,
Resource
元素的值始终为*
,表示KMS密钥策略所关联的密钥。使用以下值来表示IAM策略中的 Amazon KMS 资源。
- KMS钥匙
-
当资源是KMS密钥时,请使用其密钥ARN。有关帮助信息,请参阅 查找密钥 ID 和密钥 ARN。
arn:
Amazon_partition_name
:kms:Amazon_Region
:Amazon_account_ID
:key/key_ID
例如:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- 别名
-
当资源是别名时,请使用其别名ARN。有关帮助信息,请参阅 查找KMS密钥的别名ARN和别名。
arn:
Amazon_partition_name
:kms:Amazon_region
:Amazon_account_ID
:alias/alias_name
例如:
arn: aws: kms: us-west-2:111122223333: alias/ ExampleAlias
*
(星号)-
当权限不适用于特定资源(KMS密钥或别名)时,请使用星号 (
*
)。在 Amazon KMS 权限IAM策略中,
Resource
元素中的星号表示所有 Amazon KMS 资源(KMS密钥和别名)。当 Amazon KMS 权限不适用于任何特定的KMS密钥或别名时,您也可以在Resource
元素中使用星号。例如,当允许或拒绝kms:CreateKey
或kms:ListKeys
许可时,必须将Resource
元素设置为*
。
-
Amazon KMS 条件键列出了可用于控制对操作的访问的 Amazon KMS 条件键。您可以在策略的
Condition
元素中指定条件。有关更多信息,请参阅 Amazon KMS 条件键。此列还包括所有服务都支持但并非所有 Amazon 服务都支持的AmazonAmazon KMS全局条件键。