控制对标签的访问 - Amazon Key Management Service
标记策略中的权限限制标签权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

控制对标签的访问

要在 Amazon KMS 控制台中或通过使用 API 来添加、查看和删除标签,委托人需要标记权限。您可以在密钥策略中提供这些权限。您还可以在 IAM policy(包括 VPC 端点策略)中提供这些权限,但仅当密钥策略允许时。AWSKeyManagementServicePowerUser托管策略允许委托人对账户可以访问的所有 KMS 密钥进行标记、取消标记和列出标签。

您还可以通过将 Amazon 全局条件键用于标签来限制这些权限。在中Amazon KMS,这些条件可以控制对标记操作(例如TagResourceUntagResource)的访问权限。

注意

请谨慎授予委托人管理标签和别名的权限。更改标签或别名可以允许或拒绝对客户托管密钥的权限。有关详细信息,请参阅 Amazon KMS 中的 ABAC使用标签控制对 KMS 密钥的访问

有关示例策略和更多信息,请参阅 IAM 用户指南中的根据标签键控制访问

用于创建和管理标签的权限如下所示。

kms: TagResource

允许委托人添加或编辑标签。要在创建 KMS 密钥时添加标签,委托人必须在 IAM policy 中具有不限于特定 KMS 密钥的权限。

kms: ListResourceTags

允许委托人查看 KMS 密钥上的标签。

kms: UntagResource

允许委托人从 KMS 密钥中删除标签。

标记策略中的权限

您可以在密钥策略或 IAM policy 中提供权限标记。例如,以下示例密钥策略向选定用户授予标记 KMS 密钥的权限。它为所有可以担任示例管理员或开发人员角色的用户授予查看标签的权限。

{
  "Version": "2012-10-17",
  "Id": "example-key-policy",
  "Statement": [
    { 
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow all tagging permissions",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/LeadAdmin",
        "arn:aws:iam::111122223333:user/SupportLead"
      ]},
      "Action": [
          "kms:TagResource",
          "kms:ListResourceTags",
          "kms:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow roles to view tags",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:role/Administrator",
        "arn:aws:iam::111122223333:role/Developer"
      ]},
      "Action": "kms:ListResourceTags",
      "Resource": "*"
    }
  ]
}

要授予委托人对多个 KMS 密钥的标记权限,您可以使用 IAM policy。为使此策略生效,每个 KMS 密钥的密钥策略都必须允许账户使用 IAM policy 来控制对 KMS 密钥的访问。

例如,以下 IAM policy 允许委托人创建 KMS 密钥。它还允许他们在指定账户中的所有 KMS 密钥上创建和管理标签。这种组合允许委托人在创建 KMS 密钥时使用CreateKey操作的 Tags 参数向 KMS 密钥添加标签。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKeys",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ListResourceTags"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }    
  ]
}

限制标签权限

您可以通过使用策略条件限制标记权限。以下策略条件可应用于 kms:TagResourcekms:UntagResource 权限。例如,您可以使用 aws:RequestTag/tag-key 条件来允许委托人仅添加特定标签,或阻止委托人添加具有特定标签键的标签。或者,您可以使用 kms:KeyOrigin 条件来防止委托人标记或取消标记具有导入密钥材料的 KMS 密钥。

作为使用标签控制对 KMS 密钥的访问的最佳实践,请使用 aws:RequestTag/tag-keyaws:TagKeys 条件键来确定允许哪些标签(或标签键)。

例如,以下 IAM policy 与上一个类似。但是,此策略允许委托人为具有 Project 标签键的标签创建标签 (TagResource) 并删除标签 UntagResource

由于TagResourceUntagResource请求可以包含多个标签,因此您必须使用 aws: TagKeys 条件指定ForAllValuesForAnyValue设置运算符。ForAnyValue 运算符要求请求中至少有一个标签键与策略中的其中一个标签键匹配。ForAllValues 运算符要求请求中所有的标签键与策略中的其中一个标签键匹配。true如果请求中没有标签,则ForAllValues运算符也会返回,但 TagResource 如果未指定标签,则会 UntagResource失败。有关集合运算符的详细信息,请参阅 IAM 用户指南中的使用多个键和值

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKey",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyViewAllTags",
      "Effect": "Allow",
      "Action": "kms:ListResourceTags",
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    },
    {
      "Sid": "IAMPolicyManageTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
      }
    }
  ]
}