AWS KMS autorizzazioni

Questa tabella è progettata per aiutarti a comprendere AWS KMS le autorizzazioni in modo da poter controllare l'accesso alle tue risorse. AWS KMS Le definizioni delle intestazioni di colonna vengono visualizzate sotto la tabella.

Per ulteriori informazioni sulle AWS KMS autorizzazioni, consulta la sezione Azioni, risorse e chiavi di condizione relativa all' AWS Key Management Service argomento del Service Authorization Reference. Tuttavia, questo argomento non riporta tutte le chiavi di condizione che possono essere utilizzate per rifinire ogni autorizzazione.

Nota

Potrebbe essere necessario scorrere orizzontalmente o verticalmente per visualizzare tutti i dati della tabella.

Azioni e autorizzazioni	Tipo di policy	Utilizzo per più account	Risorse (per policy IAM)	AWS KMS tasti di condizione
CancelKeyDeletion `kms:CancelKeyDeletion`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	Policy IAM	No	`*`	km: CallerAccount
CreateAlias `kms:CreateAlias` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:CreateAlias` su due risorse: L'alias (in una policy IAM) La chiave KMS (in una policy chiave) Per informazioni dettagliate, vedi Controllo dell'accesso agli alias.	Policy IAM (per l'alias)	No	Alias	Nessuna (in caso di controllo dell'accesso all'alias)
	Policy chiave (per la chiave KMS)	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	Policy IAM	No	`*`	km: CallerAccount
CreateGrant `kms:CreateGrant`	Policy della chiave	Sì	Chiave KMS	Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni di concessione: km: GrantConstraintType km: GranteePrincipal km: GrantIsFor AWSResource km: GrantOperations km: RetiringPrincipal Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
CreateKey `kms:CreateKey`	Policy IAM	No	`*`	km: BypassPolicyLockoutSafetyCheck km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ViaService aws:RequestTag/tag-key (chiave di condizione AWS globale) aws:ResourceTag/tag-key (chiave di condizione globale)AWS aws: TagKeys (chiave di condizione AWS globale)
Decrypt `kms:Decrypt`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DeleteAlias `kms:DeleteAlias` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:DeleteAlias` su due risorse: L'alias (in una policy IAM) La chiave KMS (in una policy chiave) Per informazioni dettagliate, vedi Controllo dell'accesso agli alias.	Policy IAM (per l'alias)	No	Alias	Nessuna (in caso di controllo dell'accesso all'alias)
	Policy chiave (per la chiave KMS)	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	Policy IAM	No	`*`	km: CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DedriveSharedSecret `kms:DeriveSharedSecret`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per le operazioni di crittografia: km: KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	Policy IAM	No	`*`	km: CallerAccount
DescribeKey `kms:DescribeKey`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: RequestAlias
DisableKey `kms:DisableKey`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	Policy IAM	No	`*`	km: CallerAccount
EnableKey `kms:EnableKey`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Policy della chiave	No	Chiave KMS (solo simmetrica)	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni di rotazione automatica dei tasti: km: RotationPeriodInDays
Encrypt `kms:Encrypt`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKey `kms:GenerateDataKey`	Policy della chiave	Sì	Chiave KMS (solo simmetrica)	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Policy della chiave	Sì	Chiave KMS (solo simmetrica) Genera coppie di chiavi di dati asimmetriche protette da una chiave KMS di crittografia simmetrica.	Condizioni per coppie di chiavi di dati: km: DataKeyPairSpec Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Policy della chiave	Sì	Chiave KMS (solo simmetrica) Genera coppie di chiavi di dati asimmetriche protette da una chiave KMS di crittografia simmetrica.	Condizioni per coppie di chiavi di dati: km: DataKeyPairSpec Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Policy della chiave	Sì	Chiave KMS (solo simmetrica)	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateMac `kms:GenerateMac`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per le operazioni di crittografia: km: MacAlgorithm km: RequestAlias
GenerateRandom `kms:GenerateRandom`	Policy IAM	N/D	`*`	Nessuno
GetKeyPolicy `kms:GetKeyPolicy`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Policy della chiave	Sì	Chiave KMS (solo simmetrica)	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GetParametersForImport `kms:GetParametersForImport`	Policy della chiave	No	Chiave KMS	km: WrappingAlgorithm km: WrappingKeySpec Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GetPublicKey `kms:GetPublicKey`	Policy della chiave	Sì	Chiave KMS (solo asimmetrica)	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: ExpirationModel km: ValidTo
ListAliases `kms:ListAliases`	Policy IAM	No	`*`	Nessuno
ListGrants `kms:ListGrants`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ListKeyRotations `kms:ListKeyRotations`	Policy della chiave	No	Chiave KMS (solo simmetrica)	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ListKeys `kms:ListKeys`	Policy IAM	No	`*`	Nessuno
ListResourceTags `kms:ListResourceTags`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ListRetirableGrants `kms:ListRetirableGrants`	Policy IAM	L'entità principale specificata deve trovarsi nell'account locale, ma l'operazione restituisce concessioni in tutti gli account.	`*`	Nessuno
PutKeyPolicy `kms:PutKeyPolicy`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione per due chiavi KMS: `kms:ReEncryptFrom` sulla chiave KMS usata per la decrittografia `kms:ReEncryptTo` sulla chiave KMS utilizzata per la crittografia	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Per utilizzare questa operazione, il chiamante necessita delle seguenti autorizzazioni: `kms:ReplicateKey` sulla chiave primaria multiregione `kms:CreateKey` in una policy IAM nella Regione di replica	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: ReplicaRegion
RetireGrant `kms:RetireGrant` L'autorizzazione per ritirare una concessione è determinata principalmente dalla concessione. Una policy da sola non può consentire l'accesso a questa operazione. Per ulteriori informazioni, consulta Ritirare e revocare le concessioni.	Policy IAM Questa autorizzazione non è valida in una policy chiave.	Sì	Chiave KMS	Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni di concessione: km: GrantConstraintType Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
RevokeGrant `kms:RevokeGrant`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: GrantIsFor AWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Policy della chiave	No	Chiave KMS (solo simmetrica)	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
Sign `kms:Sign`	Policy della chiave	Sì	Chiave KMS (solo asimmetrica)	Condizioni per la firma e la verifica: km: MessageType km: RequestAlias km: SigningAlgorithm Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
TagResource `kms:TagResource`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per l'assegnazione di tag: aws:RequestTag/tag-key (chiave di condizione AWS globale) aws: TagKeys (chiave di condizione AWS globale)
UntagResource `kms:UntagResource`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per l'assegnazione di tag: aws:RequestTag/tag-key (chiave di condizione AWS globale) aws: TagKeys (chiave di condizione AWS globale)
UpdateAlias `kms:UpdateAlias` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:UpdateAlias` su tre risorse: L'alias La chiave KMS attualmente associata La chiave KMS appena associata Per informazioni dettagliate, vedi Controllo dell'accesso agli alias.	Policy IAM (per l'alias)	No	Alias	Nessuna (in caso di controllo dell'accesso all'alias)
	Policy chiave (per le chiavi KMS)	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	Policy IAM	No	`*`	km: CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:UpdatePrimaryRegion`sulla chiave primaria multiregione, che diventerà una chiave di replica, e sulla chiave di replica multiregione che diventerà la chiave primaria.	Policy della chiave	No	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: PrimaryRegion
Verify `kms:Verify`	Policy della chiave	Sì	Chiave KMS (solo asimmetrica)	Condizioni per la firma e la verifica: km: MessageType km: RequestAlias km: SigningAlgorithm Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
VerifyMac `kms:VerifyMac`	Policy della chiave	Sì	Chiave KMS	Condizioni per le operazioni delle chiavi KMS: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per le operazioni di crittografia: km: MacAlgorithm km: RequestAlias

Descrizioni delle colonne

Le colonne nella tabella forniscono le seguenti informazioni:

Azioni e autorizzazioni elenca ogni operazione AWS KMS API e l'autorizzazione che consente l'operazione. È possibile specificare l'operazione nell'elemento Action di un'istruzione di policy.
Tipo di policy indica se l'autorizzazione può essere utilizzata in una policy chiave o in una policy IAM.

Policy chiave significa che puoi specificare l'autorizzazione nella policy chiave. Quando la policy chiave contiene l'istruzione di policy che consente policy IAM, puoi specificare l'autorizzazione in una policy IAM.

Policy IAM significa che puoi specificare l'autorizzazione solo in una policy IAM.
Utilizzo tra account mostra le operazioni che gli utenti autorizzati possono eseguire sulle risorse in un Account AWS diverso.

Un valore di Sì significa che le entità principali possono eseguire l'operazione sulle risorse in un Account AWS diverso.

Un valore di No significa che le entità principali possono eseguire l'operazione solo sulle risorse nel proprio Account AWS.

Se si concede a un'entità in un account diverso un'autorizzazione che non può essere utilizzata su una risorsa tra account, l'autorizzazione non è valida. Ad esempio, se concedi a un responsabile di un altro account kms: l'TagResourceautorizzazione a utilizzare una chiave KMS nel tuo account, i suoi tentativi di taggare la chiave KMS nel tuo account falliranno.
Resources elenca le AWS KMS risorse a cui si applicano le autorizzazioni. AWS KMS supporta due tipi di risorse: una chiave KMS e un alias. In una policy delle chiavi, il valore dell'elemento Resource è sempre *, che indica la chiave KMS collegata alla policy delle chiavi.

Utilizza i seguenti valori per rappresentare una AWS KMS risorsa in una policy IAM.

Chiave KMS

Quando la risorsa è una chiave KMS utilizza l'ARN chiave. Per assistenza, consulta Individuazione dell'ID e dell'ARN della chiave.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Per esempio:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Quando la risorsa è un alias, utilizza l'ARN dell'alias. Per assistenza, consulta Individuazione del nome e dell'ARN dell'alias.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Per esempio:

arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

* (asterisco)

Quando l'autorizzazione non si applica a una determinata risorsa (chiave KMS o alias) utilizza un asterisco (*).

In una policy IAM per un' AWS KMS autorizzazione, un asterisco nell'elemento indica tutte le risorse (chiavi e alias KMS). Resource AWS KMS Puoi anche utilizzare un asterisco nell'Resourceelemento quando l' AWS KMS autorizzazione non si applica a particolari chiavi o alias KMS. Ad esempio, quando si consente o si nega l'autorizzazione kms:CreateKey o kms:ListKeys, è possibile impostare l'elemento Resource su * o su una variante specifica dell'account, ad esempio arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*.
AWS KMS condition keys elenca le chiavi di AWS KMS condizione che è possibile utilizzare per controllare l'accesso all'operazione. Puoi specificare condizioni nell'elemento Condition di una policy. Per ulteriori informazioni, consulta AWS KMS chiavi di condizione. Questa colonna include anche le chiavi di condizione AWS globali supportate da AWS KMS, ma non da tutti i AWS servizi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risoluzione dei problemi di accesso alla chiave

Test delle autorizzazioni