本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 的托管策略 Amazon Key Management Service
<a name="security-iam-awsmanpol"></a>

 Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， Amazon 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## Amazon 托管策略： AWSKeyManagementServicePowerUser
<a name="security-iam-awsmanpol-AWSKeyManagementServicePowerUser"></a>

您可以将 `AWSKeyManagementServicePowerUser` 策略附加到 IAM 身份。

您可以使用 `AWSKeyManagementServicePowerUser` 托管式策略为您账户中的 IAM 主体授予高级用户的权限。高级用户可以创建 KMS 密钥、使用和管理他们创建的 KMS 密钥，以及查看所有 KMS 密钥和 IAM 身份。具有 `AWSKeyManagementServicePowerUser` 托管式策略的主体还可以从其他来源获取权限，包括密钥策略、其他 IAM policy 和授权。

`AWSKeyManagementServicePowerUser`是一项 Amazon 托管 IAM 策略。有关 Amazon 托管策略的更多信息，请参阅 *IAM 用户指南*中的[Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

**注意**  
此策略中特定于 KMS 密钥的权限（例如 `kms:TagResource` 和 `kms:GetKeyRotationStatus`）仅在该 KMS 密钥的密钥策略[明确允许 Amazon Web Services 账户 使用 IAM policy](key-policy-default.md#key-policy-default-allow-root-enable-iam) 以控制对密钥的访问时才有效。要确认权限是否特定于 KMS 密钥，请参阅 [Amazon KMS 权限](kms-api-permissions-reference.md) 并在 **Resources**（资源）列中查找 **KMS 密钥**的值。  
此策略授予高级用户对任何 KMS 密钥执行操作的权限，以及允许该操作的密钥策略。对于跨账户权限（例如 `kms:DescribeKey` 和 `kms:ListGrants`），这可能包括不可信 Amazon Web Services 账户中的 KMS 密钥。有关详细信息，请参阅 [IAM policy 的最佳实践](iam-policies-best-practices.md) 和 [允许其他账户中的用户使用 KMS 密钥](key-policy-modifying-external-accounts.md)。要确认权限是否对其他账户中的 KMS 密钥有效，请参阅 [Amazon KMS 权限](kms-api-permissions-reference.md) 并查找 **Cross-account use**（跨账户使用）列中 **Yes**（是）的值。  
为了让委托人能够毫无错误地查看 Amazon KMS 控制台，委托人需要[标记：permis GetResources sion，该标签](https://docs.amazonaws.cn/resourcegroupstagging/latest/APIReference/API_GetResources.html)未包含在`AWSKeyManagementServicePowerUser`策略中。您可以在单独的 IAM policy 中允许此权限。

[AWSKeyManagementServicePowerUser](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) 托管 IAM 策略必须包含以下权限。
+ 允许主体创建 KMS 密钥。由于此过程包括设置密钥策略，因此高级用户可以授予自己和其他人使用和管理他们创建的 KMS 密钥的权限。
+ 允许主体创建和删除所有 KMS 密钥上的[别名](kms-alias.md)和[标签](tagging-keys.md)。更改标签或别名可以允许或拒绝使用和管理 KMS 密钥的权限。有关更多信息，请参阅 [ABAC for Amazon KMS](abac.md)。
+ 允许主体获取有关所有 KMS 密钥的详细信息，包括其密钥 ARN、加密配置、密钥策略、别名、标签和[轮换状态](rotate-keys.md)。
+ 允许主体列出 IAM 用户、组和角色。
+ 此策略不允许主体使用或管理他们未创建的 KMS 密钥。但他们可以更改所有 KMS 密钥上的别名和标签，这可能会允许或拒绝其使用或管理 KMS 密钥的权限。

要查看此策略的权限，请参阅《 Amazon 托管策略参考》[AWSKeyManagementServicePowerUser](https://docs.amazonaws.cn//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)中的。

## Amazon 托管策略： AWSServiceRoleForKeyManagementServiceCustomKeyStores
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceCustomKeyStores"></a>

您不能将 `AWSServiceRoleForKeyManagementServiceCustomKeyStores` 附加到自己的 IAM 实体。此策略附加到服务相关角色，该角色 Amazon KMS 允许查看与您的 Amazon CloudHSM 密钥库关联的 Amazon CloudHSM 集群，并创建网络以支持您的自定义密钥库与其 Amazon CloudHSM 集群之间的连接。有关更多信息，请参阅 [授权 Amazon KMS 管理 Amazon CloudHSM 和 Amazon EC2 资源](authorize-kms.md)。

## Amazon 托管策略： AWSServiceRoleForKeyManagementServiceMultiRegionKeys
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceMultiRegionKeys"></a>

您不能将 `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` 附加到自己的 IAM 实体。此策略会附加到一个向 Amazon KMS 授予相关权限的服务相关角色，以将对多区域主密钥的密钥材料做出的任何更改同步到其副本密钥。有关更多信息，请参阅 [授权同步多 Amazon KMS 区域密钥](multi-region-auth-slr.md)。

## Amazon KMS Amazon 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>

查看 Amazon KMS 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提示，请订阅 Amazon KMS [文档历史记录](dochistory.md) 页面上的 RSS 源。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – 对现有策略的更新  |  Amazon KMS 在策略版本 v2 的托管策略中添加了声明 ID (`Sid`) 字段。  |  2024 年 11 月 21 日  | 
|  [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) - 对现有策略的更新  |  Amazon KMS 添加了`ec2:DescribeVpcs``ec2:DescribeNetworkAcls`、和`ec2:DescribeNetworkInterfaces`权限以监控包含您的 Amazon CloudHSM 集群的 VPC 中的变化，以便在出现故障时 Amazon KMS 可以提供清晰的错误消息。  |  2023 年 11 月 10 日  | 
|  Amazon KMS 已开始跟踪更改  |  Amazon KMS 开始跟踪其 Amazon 托管策略的更改。  |  2023 年 11 月 10 日  |