Tindakan, sumber daya, dan kunci kondisi untuk Layanan Manajemen AWS Kunci

AWS Layanan Manajemen Kunci (awalan layanan:kms) menyediakan sumber daya khusus layanan, tindakan, dan kunci konteks kondisi berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Pelajari cara mengonfigurasi layanan ini.
Lihat daftar Operasi API yang tersedia untuk layanan ini.
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.

Topik

Tindakan yang ditentukan oleh Layanan Manajemen AWS Kunci
Jenis sumber daya yang ditentukan oleh Layanan Manajemen AWS Kunci
Kunci kondisi untuk Layanan Manajemen AWS Kunci

Tindakan yang ditentukan oleh Layanan Manajemen AWS Kunci

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan	Deskripsi	Tingkat akses	Jenis sumber daya (*diperlukan)	Kunci syarat	Tindakan bergantung
CancelKeyDeletion	Mengontrol izin untuk membatalkan penghapusan kunci KMS yang dijadwalkan AWS	Tulis	key*
CancelKeyDeletion		Tulis		kms:CallerAccount kms:ViaService
ConnectCustomKeyStore	Mengontrol izin untuk menghubungkan atau menghubungkan kembali penyimpanan kunci kustom ke klaster AWS CloudHSM terkait atau pengelola kunci eksternal di luar AWS	Tulis		kms:CallerAccount
CreateAlias	Mengontrol izin untuk membuat alias untuk kunci AWS KMS. Alias adalah nama ramah opsional yang dapat Anda kaitkan dengan kunci KMS	Tulis	alias*
			key*
				kms:CallerAccount kms:ViaService
CreateCustomKeyStore	Mengontrol izin untuk membuat penyimpanan kunci khusus yang didukung oleh klaster AWS CloudHSM atau pengelola kunci eksternal di luar AWS	Tulis		kms:CallerAccount	cloudhsm:DescribeClusters iam:CreateServiceLinkedRole
CreateGrant	Mengontrol izin untuk menambahkan hibah ke kunci AWS KMS. Anda dapat menggunakan hibah untuk menambahkan izin tanpa mengubah kebijakan utama atau kebijakan IAM	Manajemen izin	key*
CreateGrant		Manajemen izin		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal kms:ViaService
CreateKey	Mengontrol izin untuk membuat kunci AWS KMS yang dapat digunakan untuk melindungi kunci data dan informasi sensitif lainnya	Tulis		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService	iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource
Decrypt	Mengontrol izin untuk mendekripsi ciphertext yang dienkripsi di bawah kunci KMS AWS	Tulis	key*
Decrypt		Tulis		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RequestAlias kms:ViaService
DeleteAlias	Mengontrol izin untuk menghapus alias. Alias adalah nama ramah opsional yang dapat Anda kaitkan dengan kunci AWS KMS	Tulis	alias*
			key*
				kms:CallerAccount kms:ViaService
DeleteCustomKeyStore	Mengontrol izin untuk menghapus toko kunci khusus	Tulis		kms:CallerAccount
DeleteImportedKeyMaterial	Mengontrol izin untuk menghapus materi kriptografi yang Anda impor ke kunci AWS KMS. Tindakan ini membuat kunci tidak dapat digunakan	Tulis	key*
DeleteImportedKeyMaterial		Tulis		kms:CallerAccount kms:ViaService
DescribeCustomKeyStores	Mengontrol izin untuk melihat informasi terperinci tentang toko kunci kustom di akun dan wilayah	Baca		kms:CallerAccount
DescribeKey	Mengontrol izin untuk melihat informasi rinci tentang kunci AWS KMS	Baca	key*
DescribeKey		Baca		kms:CallerAccount kms:RequestAlias kms:ViaService
DisableKey	Mengontrol izin untuk menonaktifkan kunci AWS KMS, yang mencegahnya digunakan dalam operasi kriptografi	Tulis	key*
DisableKey		Tulis		kms:CallerAccount kms:ViaService
DisableKeyRotation	Mengontrol izin untuk menonaktifkan rotasi otomatis kunci AWS KMS yang dikelola pelanggan	Tulis	key*
DisableKeyRotation		Tulis		kms:CallerAccount kms:ViaService
DisconnectCustomKeyStore	Mengontrol izin untuk memutuskan penyimpanan kunci kustom dari klaster AWS CloudHSM terkait atau pengelola kunci eksternal di luar AWS	Tulis		kms:CallerAccount
EnableKey	Mengontrol izin untuk mengubah status kunci AWS KMS menjadi diaktifkan. Ini memungkinkan kunci KMS untuk digunakan dalam operasi kriptografi	Tulis	key*
EnableKey		Tulis		kms:CallerAccount kms:ViaService
EnableKeyRotation	Mengontrol izin untuk mengaktifkan rotasi otomatis materi kriptografi dalam kunci AWS KMS	Tulis	key*
EnableKeyRotation		Tulis		kms:CallerAccount kms:ViaService
Encrypt	Mengontrol izin untuk menggunakan kunci AWS KMS yang ditentukan untuk mengenkripsi data dan kunci data	Tulis	key*
Encrypt		Tulis		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKey	Mengontrol izin untuk menggunakan kunci AWS KMS untuk menghasilkan kunci data. Anda dapat menggunakan kunci data untuk mengenkripsi data di luar KMS AWS	Tulis	key*
GenerateDataKey		Tulis		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RequestAlias kms:ViaService
GenerateDataKeyPair	Mengontrol izin untuk menggunakan kunci AWS KMS untuk menghasilkan pasangan kunci data	Tulis	key*
GenerateDataKeyPair		Tulis		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyPairWithoutPlaintext	Mengontrol izin untuk menggunakan kunci AWS KMS untuk menghasilkan pasangan kunci data. Berbeda dengan GenerateDataKeyPair operasi, operasi ini mengembalikan kunci pribadi terenkripsi tanpa salinan teks biasa	Tulis	key*
GenerateDataKeyPairWithoutPlaintext		Tulis		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyWithoutPlaintext	Mengontrol izin untuk menggunakan kunci AWS KMS untuk menghasilkan kunci data. Berbeda dengan GenerateDataKey operasi, operasi ini mengembalikan kunci data terenkripsi tanpa versi plaintext dari kunci data	Tulis	key*
GenerateDataKeyWithoutPlaintext		Tulis		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateMac	Mengontrol izin untuk menggunakan kunci AWS KMS untuk menghasilkan kode otentikasi pesan	Tulis	key*
GenerateMac		Tulis		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService
GenerateRandom	Mengontrol izin untuk mendapatkan string byte acak yang aman secara kriptografis dari KMS AWS	Tulis		kms:RecipientAttestation:ImageSha384
GetKeyPolicy	Mengontrol izin untuk melihat kebijakan kunci untuk kunci AWS KMS yang ditentukan	Baca	key*
GetKeyPolicy		Baca		kms:CallerAccount kms:ViaService
GetKeyRotationStatus	Mengontrol izin untuk menentukan apakah rotasi kunci otomatis diaktifkan pada tombol AWS KMS	Baca	key*
GetKeyRotationStatus		Baca		kms:CallerAccount kms:ViaService
GetParametersForImport	Mengontrol izin untuk mendapatkan data yang diperlukan untuk mengimpor materi kriptografi ke dalam kunci yang dikelola pelanggan, termasuk kunci publik dan token impor	Baca	key*
GetParametersForImport		Baca		kms:CallerAccount kms:ViaService kms:WrappingAlgorithm kms:WrappingKeySpec
GetPublicKey	Mengontrol izin untuk mengunduh kunci publik dari kunci AWS KMS asimetris	Baca	key*
GetPublicKey		Baca		kms:CallerAccount kms:RequestAlias kms:ViaService
ImportKeyMaterial	Mengontrol izin untuk mengimpor materi kriptografi ke kunci AWS KMS	Tulis	key*
ImportKeyMaterial		Tulis		kms:CallerAccount kms:ExpirationModel kms:ValidTo kms:ViaService
ListAliases	Mengontrol izin untuk melihat alias yang ditentukan dalam akun. Alias adalah nama ramah opsional yang dapat Anda kaitkan dengan kunci AWS KMS	Daftar
ListGrants	Mengontrol izin untuk melihat semua hibah untuk kunci AWS KMS	Daftar	key*
ListGrants		Daftar		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ListKeyPolicies	Mengontrol izin untuk melihat nama kebijakan kunci untuk kunci AWS KMS	Daftar	key*
ListKeyPolicies		Daftar		kms:CallerAccount kms:ViaService
ListKeys	Mengontrol izin untuk melihat ID kunci dan Nama Sumber Daya Amazon (ARN) dari semua kunci AWS KMS di akun	Daftar
ListResourceTags	Mengontrol izin untuk melihat semua tag yang dilampirkan ke kunci AWS KMS	Daftar	key*
ListResourceTags		Daftar		kms:CallerAccount kms:ViaService
ListRetirableGrants	Mengontrol izin untuk melihat hibah di mana prinsipal yang ditentukan adalah kepala sekolah yang pensiun. Kepala sekolah lain mungkin dapat mempensiunkan hibah dan kepala sekolah ini mungkin dapat mempensiunkan hibah lainnya	Daftar
PutKeyPolicy	Mengontrol izin untuk mengganti kebijakan kunci untuk kunci AWS KMS yang ditentukan	Manajemen izin	key*
PutKeyPolicy		Manajemen izin		kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:ViaService
ReEncryptFrom	Mengontrol izin untuk mendekripsi data sebagai bagian dari proses yang mendekripsi dan mengenkripsi ulang data dalam KMS AWS	Tulis	key*
ReEncryptFrom		Tulis		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReEncryptTo	Mengontrol izin untuk mengenkripsi data sebagai bagian dari proses yang mendekripsi dan mengenkripsi ulang data dalam KMS AWS	Tulis	key*
ReEncryptTo		Tulis		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReplicateKey	Mengontrol izin untuk mereplikasi kunci utama Multi-wilayah	Tulis	key*		iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource
ReplicateKey	Mengontrol izin untuk mereplikasi kunci utama Multi-wilayah	Tulis		kms:CallerAccount kms:ReplicaRegion kms:ViaService
RetireGrant	Mengontrol izin untuk pensiun hibah. RetireGrant Operasi biasanya dipanggil oleh pengguna hibah setelah mereka menyelesaikan tugas-tugas yang hibah memungkinkan mereka untuk melakukan	Manajemen izin	key*
RevokeGrant	Mengontrol izin untuk mencabut hibah, yang menolak izin untuk semua operasi yang bergantung pada hibah	Manajemen izin	key*
RevokeGrant		Manajemen izin		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ScheduleKeyDeletion	Mengontrol izin untuk menjadwalkan penghapusan kunci KMS AWS	Tulis	key*
ScheduleKeyDeletion		Tulis		kms:CallerAccount kms:ScheduleKeyDeletionPendingWindowInDays kms:ViaService
Sign	Mengontrol izin untuk menghasilkan tanda tangan digital untuk pesan	Tulis	key*
Sign		Tulis		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
SynchronizeMultiRegionKey[hanya izin]	Mengontrol akses ke API internal yang menyinkronkan kunci Multi-region	Tulis	key*
TagResource	Mengontrol izin untuk membuat atau memperbarui tag yang dilampirkan ke kunci AWS KMS	Pemberian tag	key*
TagResource		Pemberian tag		aws:RequestTag/${TagKey} aws:TagKeys kms:CallerAccount kms:ViaService
UntagResource	Mengontrol izin untuk menghapus tag yang dilampirkan ke kunci AWS KMS	Pemberian tag	key*
UntagResource		Pemberian tag		aws:TagKeys kms:CallerAccount kms:ViaService
UpdateAlias	Mengontrol izin untuk mengaitkan alias dengan kunci AWS KMS yang berbeda. Alias adalah nama ramah opsional yang dapat Anda kaitkan dengan kunci KMS	Tulis	alias*
			key*
				kms:CallerAccount kms:ViaService
UpdateCustomKeyStore	Mengontrol izin untuk mengubah properti penyimpanan kunci kustom	Tulis		kms:CallerAccount
UpdateKeyDescription	Mengontrol izin untuk menghapus atau mengubah deskripsi kunci AWS KMS	Tulis	key*
UpdateKeyDescription		Tulis		kms:CallerAccount kms:ViaService
UpdatePrimaryRegion	Mengontrol izin untuk memperbarui Wilayah utama kunci utama Multi-wilayah	Tulis	key*
UpdatePrimaryRegion		Tulis		kms:CallerAccount kms:PrimaryRegion kms:ViaService
Verify	Mengontrol izin untuk menggunakan kunci AWS KMS yang ditentukan untuk memverifikasi tanda tangan digital	Tulis	key*
Verify		Tulis		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
VerifyMac	Mengontrol izin untuk menggunakan kunci AWS KMS untuk memverifikasi kode otentikasi pesan	Tulis	key*
VerifyMac		Tulis		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService

Jenis sumber daya yang ditentukan oleh Layanan Manajemen AWS Kunci

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Kunci-kunci ini ditampilkan di kolom terakhir tabel. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat

alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}

Jenis sumber daya	ARN	Kunci syarat
alias	`arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}`
key	`arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} kms:KeyOrigin kms:KeySpec kms:KeyUsage kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases

key

arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:MultiRegionKeyType

kms:ResourceAliases

Kunci kondisi untuk Layanan Manajemen AWS Kunci

AWS Key Management Service mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci syarat	Deskripsi	Jenis
aws:RequestTag/${TagKey}	Memfilter akses ke operasi AWS KMS yang ditentukan berdasarkan kunci dan nilai tag dalam permintaan	String
aws:ResourceTag/${TagKey}	Memfilter akses ke operasi AWS KMS yang ditentukan berdasarkan tag yang ditetapkan ke kunci AWS KMS	String
aws:TagKeys	Memfilter akses ke operasi AWS KMS yang ditentukan berdasarkan kunci tag dalam permintaan	ArrayOfString
kms:BypassPolicyLockoutSafetyCheck	Memfilter akses ke CreateKey dan PutKeyPolicy operasi berdasarkan nilai BypassPolicyLockoutSafetyCheck parameter dalam permintaan	Bool
kms:CallerAccount	Memfilter akses ke operasi AWS KMS tertentu berdasarkan Akun AWS ID pemanggil. Anda dapat menggunakan kunci kondisi ini untuk mengizinkan atau menolak akses ke semua pengguna dan peran IAM Akun AWS dalam satu pernyataan kebijakan	String
kms:CustomerMasterKeySpec	Kunci CustomerMasterKeySpec kondisi kms: tidak digunakan lagi. Sebagai gantinya, gunakan kunci KeySpec kondisi kms:	String
kms:CustomerMasterKeyUsage	Kunci CustomerMasterKeyUsage kondisi kms: tidak digunakan lagi. Sebagai gantinya, gunakan kunci KeyUsage kondisi kms:	String
kms:DataKeyPairSpec	Memfilter akses GenerateDataKeyPair dan GenerateDataKeyPairWithoutPlaintext operasi berdasarkan nilai KeyPairSpec parameter dalam permintaan	String
kms:EncryptionAlgorithm	Memfilter akses ke operasi enkripsi berdasarkan nilai algoritma enkripsi dalam permintaan	String
kms:EncryptionContext:${EncryptionContextKey}	Memfilter akses ke kunci AWS KMS simetris berdasarkan konteks enkripsi dalam operasi kriptografi. Kondisi ini mengevaluasi kunci dan nilai di setiap pasangan konteks enkripsi kunci-nilai	String
kms:EncryptionContextKeys	Memfilter akses ke kunci AWS KMS simetris berdasarkan konteks enkripsi dalam operasi kriptografi. Kunci kondisi ini hanya mengevaluasi kunci di setiap pasangan konteks enkripsi nilai-kunci	ArrayOfString
kms:ExpirationModel	Memfilter akses ke ImportKeyMaterial operasi berdasarkan nilai ExpirationModel parameter dalam permintaan	String
kms:GrantConstraintType	Memfilter akses ke CreateGrant operasi berdasarkan batasan hibah dalam permintaan	String
kms:GrantIsForAWSResource	Memfilter akses ke CreateGrant operasi ketika permintaan berasal dari AWS layanan tertentu	Bool
kms:GrantOperations	Memfilter akses ke CreateGrant operasi berdasarkan operasi dalam hibah	ArrayOfString
kms:GranteePrincipal	Memfilter akses ke CreateGrant operasi berdasarkan pokok penerima hibah dalam hibah	String
kms:KeyOrigin	Memfilter akses ke operasi API berdasarkan properti Origin kunci AWS KMS yang dibuat oleh atau digunakan dalam operasi. Gunakan untuk memenuhi syarat otorisasi CreateKey operasi atau operasi apa pun yang diizinkan untuk kunci KMS	String
kms:KeySpec	Memfilter akses ke operasi API berdasarkan KeySpec properti kunci AWS KMS yang dibuat oleh atau digunakan dalam operasi. Gunakan untuk memenuhi syarat otorisasi CreateKey operasi atau operasi apa pun yang diizinkan untuk sumber daya kunci KMS	String
kms:KeyUsage	Memfilter akses ke operasi API berdasarkan KeyUsage properti kunci AWS KMS yang dibuat oleh atau digunakan dalam operasi. Gunakan untuk memenuhi syarat otorisasi CreateKey operasi atau operasi apa pun yang diizinkan untuk sumber daya kunci KMS	String
kms:MacAlgorithm	Memfilter akses ke GenerateMac dan VerifyMac operasi berdasarkan MacAlgorithm parameter dalam permintaan	String
kms:MessageType	Memfilter akses ke operasi Tanda dan Verifikasi berdasarkan nilai MessageType parameter dalam permintaan	String
kms:MultiRegion	Memfilter akses ke operasi API berdasarkan MultiRegion properti kunci AWS KMS yang dibuat oleh atau digunakan dalam operasi. Gunakan untuk memenuhi syarat otorisasi CreateKey operasi atau operasi apa pun yang diizinkan untuk sumber daya kunci KMS	Bool
kms:MultiRegionKeyType	Memfilter akses ke operasi API berdasarkan MultiRegionKeyType properti kunci AWS KMS yang dibuat oleh atau digunakan dalam operasi. Gunakan untuk memenuhi syarat otorisasi CreateKey operasi atau operasi apa pun yang diizinkan untuk sumber daya kunci KMS	String
kms:PrimaryRegion	Memfilter akses ke UpdatePrimaryRegion operasi berdasarkan nilai PrimaryRegion parameter dalam permintaan	String
kms:ReEncryptOnSameKey	Memfilter akses ke ReEncrypt operasi ketika menggunakan kunci AWS KMS yang sama yang digunakan untuk operasi Enkripsi	Bool
kms:RecipientAttestation:ImageSha384	Memfilter akses ke Dekripsi, GenerateDataKey, dan GenerateRandom operasi berdasarkan hash gambar dalam dokumen pengesahan dalam permintaan	String
kms:RecipientAttestation:PCR	Memfilter akses ke Dekripsi, GenerateDataKey, dan GenerateRandom operasi berdasarkan register konfigurasi platform (PCR) dalam dokumen pengesahan dalam permintaan	String
kms:ReplicaRegion	Memfilter akses ke ReplicateKey operasi berdasarkan nilai ReplicaRegion parameter dalam permintaan	String
kms:RequestAlias	Memfilter akses ke operasi kriptografi DescribeKey,, dan GetPublicKey berdasarkan alias dalam permintaan	String
kms:ResourceAliases	Memfilter akses ke operasi AWS KMS tertentu berdasarkan alias yang terkait dengan kunci KMS AWS	ArrayOfString
kms:RetiringPrincipal	Memfilter akses ke CreateGrant operasi berdasarkan kepala sekolah pensiun dalam hibah	String
kms:ScheduleKeyDeletionPendingWindowInDays	Memfilter akses ke ScheduleKeyDeletion operasi berdasarkan nilai PendingWindowInDays parameter dalam permintaan	Numerik
kms:SigningAlgorithm	Memfilter akses ke operasi Tanda dan Verifikasi berdasarkan algoritma penandatanganan dalam permintaan	String
kms:ValidTo	Memfilter akses ke ImportKeyMaterial operasi berdasarkan nilai ValidTo parameter dalam permintaan. Anda dapat menggunakan kunci kondisi ini untuk memungkinkan pengguna mengimpor materi kunci hanya ketika kedaluwarsa pada tanggal yang ditentukan	Tanggal
kms:ViaService	Memfilter akses ketika permintaan yang dibuat atas nama kepala sekolah berasal dari AWS layanan tertentu	String
kms:WrappingAlgorithm	Memfilter akses ke GetParametersForImport operasi berdasarkan nilai WrappingAlgorithm parameter dalam permintaan	String
kms:WrappingKeySpec	Memfilter akses ke GetParametersForImport operasi berdasarkan nilai WrappingKeySpec parameter dalam permintaan	String

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Sebelumnya

Berikutnya