Amazon KMS 权限 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon KMS 权限

操作和资源表旨在帮助您定义访问控制密钥策略IAM 策略

注意

您可能需要水平或垂直滚动才能查看表中的所有数据。

操作和权限 策略类型 跨账户使用 资源(适用于 IAM 策略) Amazon KMS 条件键

CancelKeyDeletion

kms:CancelKeyDeletion

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM 策略

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

要使用此操作,调用方需要对以下两个资源具有 kms:CreateAlias 权限:

  • 别名(在 IAM 策略中)

  • CMK(在密钥策略中)

有关详细信息,请参阅控制对别名的访问

IAM 策略(适用于别名)

别名

无(控制对别名的访问时)

密钥策略 (适用于 CMK)

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM 策略

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

密钥策略

CMK

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

授予条件:

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

CreateKey

kms:CreateKey

IAM 策略

*

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

标记条件:

aws: RequestTag/tag/tag/标签键(Amazon全局条件键)

aws: ResourceTag//标签键(Amazon全局条件键)

aws:TagKeys(Amazon全局条件键)

Decrypt

kms:Decrypt

密钥策略

CMK

加密操作的条件

kms:EncryptionAlgorithm

KMS: 请求别名

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

DeleteAlias

kms:DeleteAlias

要使用此操作,调用方需要对以下两个资源具有 kms:DeleteAlias 权限:

  • 别名(在 IAM 策略中)

  • CMK(在密钥策略中)

有关详细信息,请参阅控制对别名的访问

IAM 策略(适用于别名)

别名

无(控制对别名的访问时)

密钥策略 (适用于 CMK)

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM 策略

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM 策略

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

其他条件:

KMS: 请求别名

DisableKey

kms:DisableKey

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM 策略

*

kms:CallerAccount

EnableKey

kms:EnableKey

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

密钥策略

CMK(仅限对称)

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

Encrypt

kms:Encrypt

密钥策略

CMK

加密操作的条件

kms:EncryptionAlgorithm

KMS: 请求别名

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

密钥策略

CMK(仅限对称)

加密操作的条件

kms:EncryptionAlgorithm

KMS: 请求别名

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

密钥策略

CMK(仅限对称)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext 生成受对称 CMK 保护的非对称数据密钥对。

数据密钥对的条件:

kms:DataKeyPairSpec

加密操作的条件

kms:EncryptionAlgorithm

KMS: 请求别名

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

密钥策略

CMK(仅限对称)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext 生成受对称 CMK 保护的非对称数据密钥对。

数据密钥对的条件:

kms:DataKeyPairSpec

加密操作的条件

kms:EncryptionAlgorithm

KMS: 请求别名

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

密钥策略

CMK(仅限对称)

加密操作的条件

kms:EncryptionAlgorithm

KMS: 请求别名

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GenerateRandom

kms:GenerateRandom

IAM 策略

不适用

*

GetKeyPolicy

kms:GetKeyPolicy

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

密钥策略

CMK(仅限对称)

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

密钥策略

CMK(仅限对称)

kms:WrappingAlgorithm

kms:WrappingKeySpec

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

GetPublicKey

kms:GetPublicKey

密钥策略

CMK(仅限非对称)

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

其他条件:

KMS: 请求别名

ImportKeyMaterial

kms:ImportKeyMaterial

密钥策略

CMK(仅限对称)

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag/tag/tag/tag/标签键(Amazon全局条件键)

kms:ViaService

其他条件:

kms:ExpirationModel

kms:ValidTo

ListAliases

kms:ListAliases

IAM 策略

*

ListGrants

kms:ListGrants

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

其他条件:

kms:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

ListKeys

kms:ListKeys

IAM 策略

*

ListResourceTags

kms:ListResourceTags

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM 策略

指定的委托人必须位于本地帐户中,但操作将返回所有帐户中的授权。

*

PutKeyPolicy

kms:PutKeyPolicy

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

其他条件:

kms:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

要使用此操作,调用方需要对以下两个 CMK 具有权限:

  • CMK 上的 kms:ReEncryptFrom,用于解密

  • CMK 上的 kms:ReEncryptTo,用于加密

密钥策略

CMK

加密操作的条件

kms:EncryptionAlgorithm

KMS: 请求别名

加密上下文条件:

kms:EncryptionContext:上下文键

kms:EncryptionContextKeys

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

其他条件:

kms:ReEncryptOnSameKey

复制密钥

kms:ReplicateKey

要使用此操作,调用方需要具有以下权限:

  • kms:ReplicateKey在多区域主键上

  • kms:CreateKey在副本区域的 IAM 策略中

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

其他条件:

KMS: 复制品

RetireGrant

kms:RetireGrant

退休授权的权限主要由授权决定。单独的策略无法允许访问此操作。有关更多信息,请参阅 退休和撤销补助金

IAM 策略

(此权限在密钥策略中无效。)

CMK

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

RevokeGrant

kms:RevokeGrant

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

其他条件:

kms:GrantIsForAWSResource

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

Sign

kms:Sign

密钥策略

CMK(仅限非对称)

签名和验证的条件:

kms:MessageType

KMS: 请求别名

kms:SigningAlgorithm

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

TagResource

kms:TagResource

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

标记条件:

aws: RequestTag/tag/tag/标签键(Amazon全局条件键)

aws:TagKeys(Amazon全局条件键)

UntagResource

kms:UntagResource

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

标记条件:

aws: RequestTag/tag/tag/标签键(Amazon全局条件键)

aws:TagKeys(Amazon全局条件键)

UpdateAlias

kms:UpdateAlias

要使用此操作,调用方需要对以下三个资源具有 kms:UpdateAlias 权限:

  • 别名

  • 当前关联的 CMK

  • 新关联的 CMK

有关详细信息,请参阅控制对别名的访问

IAM 策略(适用于别名)

别名

无(控制对别名的访问时)

密钥策略(适用于 CMK)

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM 策略

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

更新主要区域

kms:UpdatePrimaryRegion

要使用此操作,调用方需要kms:UpdatePrimaryRegion权限多区域主键,它将成为副本密钥,多区域复制副本密钥,它将成为主键。

密钥策略

CMK

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

其他条件

KMS: 主要地区

验证

kms:Verify

密钥策略

CMK(仅限非对称)

签名和验证的条件:

kms:MessageType

KMS: 请求别名

kms:SigningAlgorithm

CMK 操作条件:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS: 多区域

KMS: 多区域键类型

KMS: 资源别名

aws: ResourceTag//标签键(Amazon全局条件键)

kms:ViaService

此表中的各列提供以下信息:

  • 操作和权限列出每个Amazon KMSAPI 操作和允许操作的权限。您可以在Action元素中的一个策略语句。

  • 策略类型指示权限是否可在密钥策略或 IAM 策略中使用。

    密钥策略意味着您可在密钥策略中指定权限。当密钥策略包含启用 IAM 策略的策略声明,您可在 IAM 策略中指定权限。

    IAM 策略意味着您只能在 IAM 策略中指定权限。

  • 跨账户使用显示了授权用户可以对其他Amazonaccount.

    意味着委托人可以对不同的Amazonaccount.

    意味着委托人只能对自己的资源执行操作Amazonaccount.

    如果您为不同账户中的委托人授予一个不能在跨账户资源上使用的权限,则该权限将无效。例如,如果您在其他账户中授权委托人KMS: 标记资源权限,则他们尝试在您的账户中标记 CMK 将失败。

  • 资源列出了应用权限的 Amazon KMS 资源。Amazon KMS 支持两种资源类型:客户主密钥 (CMK) 和别名。在密钥策略中,Resource 元素的值始终为 *,这表示密钥策略附加到的 CMK。

    使用以下值表示Amazon KMS资源。

    CMK

    当资源是客户主密钥 (CMK) 时,请使用其密钥 ARN。有关帮助信息,请参阅查找密钥 ID 和 ARN

    arn:Amazon_partition_name:kms:Amazon_Region:Amazon_account_ID:key/key_ID

    例如:

    arn: aws: aws: aws: aws: aws: aws: aws: 钥匙/1234567890ab

    别名

    当资源是别名时,请使用其别名 ARN。有关帮助信息,请参阅查找别名和别名 ARN

    arn:Amazon_partition_name:kms:Amazon_region:Amazon_account_ID:alias/alias_name

    例如:

    arn: aws: aws: aws: aws: aws: aws: aws: alias/ExampleAlias

    *(星号)

    当权限不适用于特定资源(CMK 或别名)时,请使用星号 (*)。

    在 Amazon KMS 权限的 IAM 策略中,Resource 元素中的星号表示所有 Amazon KMS 资源(CMK 和别名)。当 Amazon KMS 权限不适用于任何特定的 CMK 或别名时,您也可以在 Resource 元素中使用星号。例如,当允许或拒绝 kms:CreateKeykms:ListKeys 权限时,您可以将 Resource 元素设置为 *,也可以设置为账户特定的变体,例如 arn:Amazon_partition_name:kms:Amazon_region:Amazon_account_ID:*

  • Amazon KMS 条件键列出可用于控制对操作的访问的 Amazon KMS 条件键。您可以在策略的 Condition 元素中指定条件。有关更多信息,请参阅 Amazon KMS 条件键。此列还包含 Amazon 全局条件上下文键,这些键受 Amazon KMS 支持但并不受所有 Amazon 服务支持。