AWS KMS autorisations

Ce tableau est conçu pour vous aider à comprendre AWS KMS les autorisations afin que vous puissiez contrôler l'accès à vos AWS KMS ressources. Les définitions des en-têtes de colonne apparaissent sous le tableau.

Vous pouvez également en savoir plus sur AWS KMS les autorisations dans la AWS Key Management Servicerubrique Actions, ressources et clés de condition de la référence d'autorisation de service. Toutefois, cette rubrique ne répertorie pas toutes les clés de condition que vous pouvez utiliser pour affiner chaque autorisation.

Note

Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de la table.

Actions et autorisations	Type de stratégie	Utilisation inter-comptes	Ressources (pour les politiques IAM)	AWS KMS clés de condition
CancelKeyDeletion `kms:CancelKeyDeletion`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
CreateAlias `kms:CreateAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:CreateAlias` sur deux ressources : L'alias (dans une politique IAM) La clé KMS (dans une politique de clé) Pour plus de détails, veuillez consulter Contrôle de l'accès aux alias.	Politique IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique de clé (pour la clé KMS)	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
CreateGrant `kms:CreateGrant`	Stratégie de clé	Oui	Clé KMS	Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions d'octroi : km : GrantConstraintType km : GranteePrincipal km : GrantIsFor AWSResource km : GrantOperations km : RetiringPrincipal Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
CreateKey `kms:CreateKey`	Politique IAM	Non	`*`	km : BypassPolicyLockoutSafetyCheck km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ViaService aws :RequestTag/tag-key (clé de conditionAWS globale) aws :ResourceTag/tag-key (clé de conditionAWS globale) aws : TagKeys (clé de conditionAWS globale)
Decrypt `kms:Decrypt`	Politique de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
DeleteAlias `kms:DeleteAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:DeleteAlias` sur deux ressources : L'alias (dans une politique IAM) La clé KMS (dans une politique de clé) Pour plus de détails, veuillez consulter Contrôle de l'accès aux alias.	Politique IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique de clé (pour la clé KMS)	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	Politique IAM	Non	`*`	km : CallerAccount
DescribeKey `kms:DescribeKey`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : RequestAlias
DisableKey `kms:DisableKey`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
EnableKey `kms:EnableKey`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Stratégie de clé	Non	Clé KMS (symétrique uniquement)	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
Encrypt `kms:Encrypt`	Politique de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GenerateDataKey `kms:GenerateDataKey`	Stratégie de clé	Oui	Clé KMS (symétrique uniquement)	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Stratégie de clé	Oui	Clé KMS (symétrique uniquement) Génère une paire de clés de données asymétriques qui est protégée par une clé KMS de chiffrement symétrique.	Conditions pour les paires de clés de données : km : DataKeyPairSpec Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Stratégie de clé	Oui	Clé KMS (symétrique uniquement) Génère une paire de clés de données asymétriques qui est protégée par une clé KMS de chiffrement symétrique.	Conditions pour les paires de clés de données : km : DataKeyPairSpec Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Stratégie de clé	Oui	Clé KMS (symétrique uniquement)	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GenerateMac `kms:GenerateMac`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Conditions des opérations de chiffrement : km : MacAlgorithm km : RequestAlias
GenerateRandom `kms:GenerateRandom`	Politique IAM	N/A	`*`	Aucun
GetKeyPolicy `kms:GetKeyPolicy`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Stratégie de clé	Oui	Clé KMS (symétrique uniquement)	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GetParametersForImport `kms:GetParametersForImport`	Stratégie de clé	Non	Clé KMS	km : WrappingAlgorithm km : WrappingKeySpec Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
GetPublicKey `kms:GetPublicKey`	Stratégie de clé	Oui	Clé KMS (asymétrique uniquement)	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : ExpirationModel km : ValidTo
ListAliases `kms:ListAliases`	Politique IAM	Non	`*`	Aucun
ListGrants `kms:ListGrants`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
ListKeys `kms:ListKeys`	Politique IAM	Non	`*`	Aucun
ListResourceTags `kms:ListResourceTags`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
ListRetirableGrants `kms:ListRetirableGrants`	Politique IAM	Le principal spécifié doit être dans le compte local, mais l'opération renvoie des octrois dans tous les comptes.	`*`	Aucun
PutKeyPolicy `kms:PutKeyPolicy`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Pour utiliser cette opération, l'appelant doit avoir l'autorisation sur deux clés KMS : `kms:ReEncryptFrom` sur la clé KMS utilisée pour déchiffrer `kms:ReEncryptTo` sur la clé KMS utilisée pour chiffrer	Politique de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Pour utiliser cette opération, l'appelant doit avoir les autorisations suivantes : `kms:ReplicateKey` sur la clé principale multi-région `kms:CreateKey` dans une politique IAM dans la région de réplica	Politique de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : ReplicaRegion
RetireGrant `kms:RetireGrant` L'autorisation de retirer un octroi est déterminée principalement par l'octroi. Une politique seule ne peut pas autoriser l'accès à cette opération. Pour de plus amples informations, veuillez consulter Retrait et révocation d'octrois.	Politique IAM (Cette autorisation n'est pas effective dans une politique de clé.)	Oui	Clé KMS	km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale)
RevokeGrant `kms:RevokeGrant`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions : km : GrantIsFor AWSResource
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
Sign (Signer) `kms:Sign`	Politique de clé	Oui	Clé KMS (asymétrique uniquement)	Conditions de signature et de vérification : km : MessageType km : RequestAlias km : SigningAlgorithm Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
TagResource `kms:TagResource`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Conditions d'étiquetage : aws :RequestTag/tag-key (clé de conditionAWS globale) aws : TagKeys (clé de conditionAWS globale)
UntagResource `kms:UntagResource`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Conditions d'étiquetage : aws :RequestTag/tag-key (clé de conditionAWS globale) aws : TagKeys (clé de conditionAWS globale)
UpdateAlias `kms:UpdateAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:UpdateAlias` sur trois ressources : L'alias La clé KMS actuellement associée La clé KMS nouvellement associée Pour plus de détails, veuillez consulter Contrôle de l'accès aux alias.	Politique IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique de clé (pour les clés KMS)	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:UpdatePrimaryRegion` sur la clé principale multi-région qui deviendra une clé de réplica et sur la clé de réplica multi-région qui deviendra la clé principale.	Politique de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Autres conditions km : PrimaryRegion
Vérification `kms:Verify`	Politique de clé	Oui	Clé KMS (asymétrique uniquement)	Conditions de signature et de vérification : km : MessageType km : RequestAlias km : SigningAlgorithm Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService
VerifyMac `kms:VerifyMac`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de conditionAWS globale) km : ViaService Conditions des opérations de chiffrement : km : MacAlgorithm km : RequestAlias

Descriptions des colonnes

Les colonnes de ce tableau fournissent les informations suivantes :

Actions et autorisations répertorie chaque opération AWS KMS d'API et l'autorisation qui autorise l'opération. Vous spécifiez l'opération dans l'élément Action d'une instruction de politique.
Policy type (Type de politique) indique si l'autorisation peut être utilisée dans une politique de clé ou une politique IAM.

Key policy (Politique de clé) signifie que vous pouvez spécifier l'autorisation dans la politique de clé. Lorsque la politique de clé contient l'instruction de politique qui active les politiques IAM, vous pouvez spécifier l'autorisation dans une politique IAM.

IAM policy (Politique IAM) signifie que vous pouvez spécifier l'autorisation uniquement dans une politique IAM.
Cross-account use (Utilisation inter-comptes) indique les opérations que les utilisateurs autorisés peuvent effectuer sur des ressources dans un autre Compte AWS.

Une valeur de Yes (Oui) signifie que les principaux peuvent effectuer l'opération sur des ressources dans un autre Compte AWS.

Une valeur de No (Non) signifie que les principaux peuvent effectuer l'opération uniquement sur des ressources dans leur propre Compte AWS.

Si vous accordez à un principal dans un compte différent une autorisation qui ne peut pas être utilisée sur une ressource inter-comptes, l'autorisation n'est pas effective. Par exemple, si vous TagResource autorisez un mandant d'un autre compte KMS : à utiliser une clé KMS dans votre compte, ses tentatives de balisage de la clé KMS dans votre compte échoueront.
Resources répertorie les AWS KMS ressources auxquelles les autorisations s'appliquent. AWS KMS prend en charge deux types de ressources : une clé KMS et un alias. Dans une politique de clé, la valeur de l'élément Resource est toujours *, ce qui indique la clé KMS à laquelle la politique de clé est attachée.

Utilisez les valeurs suivantes pour représenter une AWS KMS ressource dans une politique IAM.

Clé KMS

Lorsque la ressource est une clé KMS, utilisez son ARN de clé. Pour obtenir de l'aide, veuillez consulter Recherche de l'ID et de l'ARN d'une clé.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Par exemple :

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Lorsque la ressource est un alias, utilisez son ARN d'alias. Pour obtenir de l'aide, veuillez consulter Recherche du nom d'alias et de l'ARN d'alias.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Par exemple :

arn:aws:kms:us-west- 2:111122223333 : alias/ ExampleAlias

* (astérisque)

Lorsque l'autorisation ne s'applique pas à une ressource particulière (clé KMS ou alias), utilisez un astérisque (*).

Dans une politique IAM pour une AWS KMS autorisation, un astérisque dans l'Resourceélément indique toutes les AWS KMS ressources (clés KMS et alias). Vous pouvez également utiliser un astérisque dans l'Resourceélément lorsque l' AWS KMS autorisation ne s'applique à aucune clé ou alias KMS en particulier. Par exemple, lorsque vous accordez ou refusez des autorisations kms:CreateKey ou kms:ListKeys, vous pouvez définir l'élément Resource sur * ou sur une variante spécifique au compte, telle que arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*.
AWS KMS les clés de AWS KMS condition répertorient les clés de condition que vous pouvez utiliser pour contrôler l'accès à l'opération. Vous spécifiez des conditions dans l'élément Condition d'une politique. Pour de plus amples informations, veuillez consulter AWS KMS clés de condition. Cette colonne inclut également les clés de conditionAWS globales qui sont prises en charge par tous les AWS services AWS KMS, mais pas par tous.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes de clé d'accès

Test des autorisations