AWS kebijakan terkelola untuk pengguna listrik

Anda dapat menggunakan kebijakan AWSKeyManagementServicePowerUser terkelola untuk memberikan izin kepada pengguna daya kepada kepala IAM di akun Anda. Pengguna daya dapat membuat kunci KMS, menggunakan dan mengelola kunci KMS yang mereka buat, dan melihat semua kunci KMS dan identitas IAM. Prinsipal yang memiliki kebijakan AWSKeyManagementServicePowerUser terkelola juga bisa mendapatkan izin dari sumber lain, termasuk kebijakan utama, kebijakan IAM lainnya, dan hibah.

AWSKeyManagementServicePowerUseradalah kebijakan IAM AWS terkelola. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

catatan

Izin dalam kebijakan ini yang khusus untuk kunci KMS, seperti kms:TagResource dankms:GetKeyRotationStatus, hanya efektif jika kebijakan utama untuk kunci KMS tersebut secara eksplisit mengizinkan kebijakan IAM untuk menggunakan kebijakan IAM Akun AWS untuk mengontrol akses ke kunci tersebut. Untuk menentukan apakah izin khusus untuk kunci KMS, lihat AWS KMS izin dan cari nilai kunci KMS di kolom Sumber Daya.

Kebijakan ini memberikan izin pengguna daya pada kunci KMS apa pun dengan kebijakan kunci yang mengizinkan pengoperasian. Untuk izin lintas akun, seperti kms:DescribeKey dankms:ListGrants, ini mungkin termasuk kunci KMS yang tidak dipercaya. Akun AWS Untuk detailnya, lihat Praktik terbaik untuk kebijakan IAM dan Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS. Untuk menentukan apakah izin valid pada kunci KMS di akun lain, lihat AWS KMS izin dan cari nilai Ya di kolom Penggunaan lintas akun.

Untuk mengizinkan prinsipal melihat AWS KMS konsol tanpa kesalahan, prinsipal memerlukan GetResources izin tag:, yang tidak termasuk dalam kebijakan. AWSKeyManagementServicePowerUser Anda dapat mengizinkan izin ini dalam kebijakan IAM terpisah.

Kebijakan IAM AWSKeyManagementServicePowerUserterkelola mencakup izin berikut.

Memungkinkan kepala sekolah untuk membuat kunci KMS. Karena proses ini mencakup pengaturan kebijakan kunci, pengguna daya dapat memberikan izin kepada diri mereka sendiri dan orang lain untuk menggunakan dan mengelola kunci KMS yang mereka buat.
Memungkinkan prinsipal untuk membuat dan menghapus alias dan tag pada semua kunci KMS. Mengubah tag atau alias dapat mengizinkan atau menolak izin untuk menggunakan dan mengelola kunci KMS. Lihat perinciannya di ABAC untuk AWS KMS.
Memungkinkan prinsipal untuk mendapatkan informasi rinci tentang semua kunci KMS, termasuk ARN kunci mereka, konfigurasi kriptografi, kebijakan kunci, alias, tag, dan status rotasi.
Memungkinkan prinsipal untuk mencantumkan pengguna, grup, dan peran IAM.
Kebijakan ini tidak mengizinkan prinsipal untuk menggunakan atau mengelola kunci KMS yang tidak mereka buat. Namun, mereka dapat mengubah alias dan tag pada semua kunci KMS, yang mungkin mengizinkan atau menolak izin mereka untuk menggunakan atau mengelola kunci KMS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Izin yang diperlukan untuk menggunakan konsol AWS KMS

Contoh