Operazioni Tipi di risorsa Chiavi di condizione

Operazioni, risorse e chiavi di condizione per AWS Key Management Service

AWS Key Management Service (prefisso del servizio:kms) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.

Riferimenti:

Scopri come configurare questo servizio.
Visualizza un elenco delle operazioni API disponibili per questo servizio.
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni di IAM.

Argomenti

Operazioni definite da AWS Key Management Service
Tipi di risorsa definiti da AWS Key Management Service
Chiavi di condizione per AWS Key Management Service

Operazioni definite da AWS Key Management Service

Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.

La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.

La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.

Nota

Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.

Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.

Azioni	Descrizione	Livello di accesso	Tipi di risorsa (*obbligatorio)	Chiavi di condizione	Operazioni dipendenti
CancelKeyDeletion	Controlla l'autorizzazione per annullare l'eliminazione pianificata di una chiave KMS AWS	Scrittura	key*
CancelKeyDeletion		Scrittura		kms:CallerAccount kms:ViaService
ConnectCustomKeyStore	Controlla l'autorizzazione per connettere o ricollegare un key store personalizzato al cluster AWS CloudHSM associato o al gestore di chiavi esterno esterno AWS	Scrittura		kms:CallerAccount
CreateAlias	Controlla l'autorizzazione a creare un alias per una chiave KMS. AWS Gli alias sono nomi descrittivi facoltativi che è possibile associare alle chiavi KMS	Scrittura	alias*
			key*
				kms:CallerAccount kms:ViaService
CreateCustomKeyStore	Controlla l'autorizzazione a creare un key store personalizzato supportato da un cluster AWS CloudHSM o da un gestore di chiavi esterno al di fuori di AWS	Scrittura		kms:CallerAccount	cloudhsm:DescribeClusters iam:CreateServiceLinkedRole
CreateGrant	Controlla l'autorizzazione per aggiungere una concessione a una chiave AWS KMS. Puoi utilizzare sovvenzioni per aggiungere le autorizzazioni senza modificare la policy delle chiavi o la policy IAM	Gestione delle autorizzazioni	key*
CreateGrant		Gestione delle autorizzazioni		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal kms:ViaService
CreateKey	Controlla l'autorizzazione a creare una chiave AWS KMS che può essere utilizzata per proteggere dati, chiavi e altre informazioni sensibili	Scrittura		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService	iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource
Decrypt	Controlla l'autorizzazione a decrittografare il testo cifrato che è stato crittografato con una chiave KMS AWS	Scrittura	key*
Decrypt		Scrittura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RequestAlias kms:ViaService
DeleteAlias	Controlla l'autorizzazione per eliminare un alias. Gli alias sono nomi descrittivi facoltativi che è possibile associare alle chiavi KMS AWS	Scrittura	alias*
			key*
				kms:CallerAccount kms:ViaService
DeleteCustomKeyStore	Controlla l'autorizzazione per eliminare uno store delle chiavi personalizzate	Scrittura		kms:CallerAccount
DeleteImportedKeyMaterial	Controlla l'autorizzazione a eliminare il materiale crittografico importato in una AWS chiave KMS. Questa operazione rende la chiave inutilizzabile	Scrittura	key*
DeleteImportedKeyMaterial		Scrittura		kms:CallerAccount kms:ViaService
DeriveSharedSecret	Controlla l'autorizzazione a utilizzare la chiave AWS KMS specificata per derivare segreti condivisi	Scrittura	key*
DeriveSharedSecret		Scrittura		kms:CallerAccount kms:KeyAgreementAlgorithm kms:RecipientAttestation:ImageSha384 kms:RequestAlias kms:ViaService
DescribeCustomKeyStores	Controlla l'autorizzazione per visualizzare informazioni dettagliate sugli store delle chiavi personalizzate nell'account e nella regione	Lettura		kms:CallerAccount
DescribeKey	Controlla l'autorizzazione a visualizzare informazioni dettagliate su una chiave KMS AWS	Lettura	key*
DescribeKey		Lettura		kms:CallerAccount kms:RequestAlias kms:ViaService
DisableKey	Controlla l'autorizzazione a disabilitare una chiave AWS KMS, impedendone l'utilizzo nelle operazioni crittografiche	Scrittura	key*
DisableKey		Scrittura		kms:CallerAccount kms:ViaService
DisableKeyRotation	Controlla l'autorizzazione a disabilitare la rotazione automatica di una chiave KMS gestita AWS dal cliente	Scrittura	key*
DisableKeyRotation		Scrittura		kms:CallerAccount kms:ViaService
DisconnectCustomKeyStore	Controlla l'autorizzazione a disconnettere l'archivio chiavi personalizzato dal cluster AWS CloudHSM associato o dal gestore di chiavi esterno al di fuori di AWS	Scrittura		kms:CallerAccount
EnableKey	Controlla l'autorizzazione a modificare lo stato di una chiave AWS KMS su abilitata. In questo modo la chiave KMS può essere utilizzata in operazioni di crittografia	Scrittura	key*
EnableKey		Scrittura		kms:CallerAccount kms:ViaService
EnableKeyRotation	Controlla l'autorizzazione per abilitare la rotazione automatica del materiale crittografico in una AWS chiave KMS	Scrittura	key*
EnableKeyRotation		Scrittura		kms:CallerAccount kms:RotationPeriodInDays kms:ViaService
Encrypt	Controlla l'autorizzazione a utilizzare la chiave AWS KMS specificata per crittografare dati e chiavi dati	Scrittura	key*
Encrypt		Scrittura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKey	Controlla l'autorizzazione a utilizzare la chiave AWS KMS per generare chiavi dati. Puoi utilizzare le chiavi dati per crittografare i dati al di fuori di KMS AWS	Scrittura	key*
GenerateDataKey		Scrittura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RequestAlias kms:ViaService
GenerateDataKeyPair	Controlla l'autorizzazione a utilizzare la chiave AWS KMS per generare coppie di chiavi di dati	Scrittura	key*
GenerateDataKeyPair		Scrittura		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyPairWithoutPlaintext	Controlla l'autorizzazione a utilizzare la chiave AWS KMS per generare coppie di chiavi di dati. A differenza dell' GenerateDataKeyPair operazione, questa operazione restituisce una chiave privata crittografata senza una copia in testo semplice	Scrittura	key*
GenerateDataKeyPairWithoutPlaintext		Scrittura		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyWithoutPlaintext	Controlla l'autorizzazione a utilizzare la chiave AWS KMS per generare una chiave dati. A differenza dell' GenerateDataKey operazione, questa operazione restituisce una chiave dati crittografata senza una versione in testo semplice della chiave dati	Scrittura	key*
GenerateDataKeyWithoutPlaintext		Scrittura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateMac	Controlla l'autorizzazione a utilizzare la chiave AWS KMS per generare codici di autenticazione dei messaggi	Scrittura	key*
GenerateMac		Scrittura		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService
GenerateRandom	Controlla l'autorizzazione per ottenere una stringa di byte casuali crittograficamente sicura da KMS AWS	Scrittura		kms:RecipientAttestation:ImageSha384
GetKeyPolicy	Controlla l'autorizzazione a visualizzare la politica chiave per la chiave KMS specificata AWS	Lettura	key*
GetKeyPolicy		Lettura		kms:CallerAccount kms:ViaService
GetKeyRotationStatus	Controlla l'autorizzazione a visualizzare lo stato di rotazione delle chiavi per una chiave AWS KMS	Lettura	key*
GetKeyRotationStatus		Lettura		kms:CallerAccount kms:ViaService
GetParametersForImport	Controlla l'autorizzazione per ottenere i dati richiesti per importare il materiale crittografico in una chiave gestita dal cliente, inclusi una chiave pubblica e un token di importazione	Lettura	key*
GetParametersForImport		Lettura		kms:CallerAccount kms:ViaService kms:WrappingAlgorithm kms:WrappingKeySpec
GetPublicKey	Controlla l'autorizzazione a scaricare la chiave pubblica di una chiave KMS asimmetrica AWS	Lettura	key*
GetPublicKey		Lettura		kms:CallerAccount kms:RequestAlias kms:ViaService
ImportKeyMaterial	Controlla l'autorizzazione a importare materiale crittografico in una chiave KMS AWS	Scrittura	key*
ImportKeyMaterial		Scrittura		kms:CallerAccount kms:ExpirationModel kms:ValidTo kms:ViaService
ListAliases	Controlla l'autorizzazione per visualizzare gli alias definiti nell'account. Gli alias sono nomi descrittivi facoltativi che è possibile associare alle chiavi KMS AWS	Elenco
ListGrants	Controlla l'autorizzazione a visualizzare tutte le concessioni per una chiave KMS AWS	Elenco	key*
ListGrants		Elenco		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ListKeyPolicies	Controlla l'autorizzazione a visualizzare i nomi delle politiche chiave per una AWS chiave KMS	Elenco	key*
ListKeyPolicies		Elenco		kms:CallerAccount kms:ViaService
ListKeyRotations	Controlla l'autorizzazione a visualizzare l'elenco delle rotazioni chiave completate per una AWS chiave KMS	Elenco	key*
ListKeyRotations		Elenco		kms:CallerAccount kms:ViaService
ListKeys	Controlla l'autorizzazione a visualizzare l'ID della chiave e l'Amazon Resource Name (ARN) di tutte le chiavi AWS KMS nell'account	Elenco
ListResourceTags	Controlla l'autorizzazione a visualizzare tutti i tag associati a una AWS chiave KMS	Elenco	key*
ListResourceTags		Elenco		kms:CallerAccount kms:ViaService
ListRetirableGrants	Controlla l'autorizzazione per visualizzare le concessioni in cui l'entità principale specificata è nell'entità principale che effettua il ritiro. Altre entità principali potrebbero ritirare la concessione e questa entità principale potrebbe ritirare altre concessioni.	Elenco
PutKeyPolicy	Controlla l'autorizzazione a sostituire la politica chiave per la chiave AWS KMS specificata	Gestione delle autorizzazioni	key*
PutKeyPolicy		Gestione delle autorizzazioni		kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:ViaService
ReEncryptFrom	Controlla l'autorizzazione a decrittografare i dati come parte del processo di decrittografia e ricrittografia dei dati all'interno di KMS AWS	Scrittura	key*
ReEncryptFrom		Scrittura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReEncryptTo	Controlla l'autorizzazione a crittografare i dati come parte del processo di decrittografia e ricrittografia dei dati all'interno di KMS AWS	Scrittura	key*
ReEncryptTo		Scrittura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReplicateKey	Controlla l'autorizzazione per replicare una chiave primaria in più Regioni	Scrittura	key*		iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource
ReplicateKey		Scrittura		kms:CallerAccount kms:ReplicaRegion kms:ViaService
RetireGrant	Controlla l'autorizzazione per ritirare una concessione. L' RetireGrant operazione viene in genere richiamata dall'utente della concessione dopo aver completato le attività che la concessione gli ha consentito di eseguire	Gestione delle autorizzazioni	key*
RevokeGrant	Controlla l'autorizzazione per revocare una concessione, che nega l'autorizzazione per tutte le operazioni che dipendono dalla concessione	Gestione delle autorizzazioni	key*
RevokeGrant		Gestione delle autorizzazioni		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
RotateKeyOnDemand	Controlla l'autorizzazione a richiamare la rotazione su richiesta del materiale crittografico in una chiave KMS AWS	Scrittura	key*
RotateKeyOnDemand		Scrittura		kms:CallerAccount kms:ViaService
ScheduleKeyDeletion	Controlla l'autorizzazione a pianificare l'eliminazione di una chiave KMS AWS	Scrittura	key*
ScheduleKeyDeletion		Scrittura		kms:CallerAccount kms:ScheduleKeyDeletionPendingWindowInDays kms:ViaService
Sign	Controlla l'autorizzazione per produrre una firma digitale per un messaggio	Scrittura	key*
Sign		Scrittura		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
SynchronizeMultiRegionKey [solo autorizzazione]	Controlla l'accesso alle API interne che sincronizzano le chiavi di più Regioni	Scrittura	key*
TagResource	Controlla l'autorizzazione a creare o aggiornare i tag allegati a una chiave AWS KMS	Assegnazione di tag	key*
TagResource		Assegnazione di tag		aws:RequestTag/${TagKey} aws:TagKeys kms:CallerAccount kms:ViaService
UntagResource	Controlla l'autorizzazione a eliminare i tag allegati a una chiave AWS KMS	Assegnazione di tag	key*
UntagResource		Assegnazione di tag		aws:TagKeys kms:CallerAccount kms:ViaService
UpdateAlias	Controlla l'autorizzazione ad associare un alias a una chiave AWS KMS diversa. Un alias è un nome descrittivo facoltativo che è possibile associare a una chiave KMS	Scrittura	alias*
			key*
				kms:CallerAccount kms:ViaService
UpdateCustomKeyStore	Controlla l'autorizzazione per modificare le proprietà di uno store delle chiavi personalizzate	Scrittura		kms:CallerAccount
UpdateKeyDescription	Controlla l'autorizzazione a eliminare o modificare la descrizione di una chiave KMS AWS	Scrittura	key*
UpdateKeyDescription		Scrittura		kms:CallerAccount kms:ViaService
UpdatePrimaryRegion	Controlla l'autorizzazione per aggiornare la Regione primaria di una chiave primaria in più Regioni	Scrittura	key*
UpdatePrimaryRegion		Scrittura		kms:CallerAccount kms:PrimaryRegion kms:ViaService
Verify	Controlla l'autorizzazione a utilizzare la chiave AWS KMS specificata per verificare le firme digitali	Scrittura	key*
Verify		Scrittura		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
VerifyMac	Controlla l'autorizzazione a utilizzare la chiave AWS KMS per verificare i codici di autenticazione dei messaggi	Scrittura	key*
VerifyMac		Scrittura		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService

Tipi di risorsa definiti da AWS Key Management Service

I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.

Tipi di risorsa ARN Chiavi di condizione

alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}

Tipi di risorsa	ARN	Chiavi di condizione
alias	`arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}`
key	`arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} kms:KeyOrigin kms:KeySpec kms:KeyUsage kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases

key

arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:MultiRegionKeyType

kms:ResourceAliases

Chiavi di condizione per AWS Key Management Service

AWS Il servizio di gestione delle chiavi definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.

Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.

Chiavi di condizione	Descrizione	Type
aws:RequestTag/${TagKey}	Filtra l'accesso alle operazioni AWS KMS specificate in base sia alla chiave che al valore del tag nella richiesta	Stringa
aws:ResourceTag/${TagKey}	Filtra l'accesso alle operazioni AWS KMS specificate in base ai tag assegnati alla AWS chiave KMS	Stringa
aws:TagKeys	Filtra l'accesso alle operazioni AWS KMS specificate in base alle chiavi dei tag presenti nella richiesta	ArrayOfString
kms:BypassPolicyLockoutSafetyCheck	Filtra l'accesso alle PutKeyPolicy operazioni CreateKey e in base al valore del BypassPolicyLockoutSafetyCheck parametro nella richiesta	Bool
kms:CallerAccount	Filtra l'accesso alle operazioni AWS KMS specificate in base all' Account AWS ID del chiamante. Puoi utilizzare questa chiave di condizione per consentire o negare l'accesso a tutti gli utenti e i ruoli IAM Account AWS in un'unica dichiarazione politica	Stringa
kms:CustomerMasterKeySpec	La chiave kms: CustomerMasterKeySpec condition è obsoleta. Utilizza invece la chiave kms: condition KeySpec	Stringa
kms:CustomerMasterKeyUsage	La chiave kms: CustomerMasterKeyUsage condition è obsoleta. Utilizza invece la chiave kms: condition KeyUsage	Stringa
kms:DataKeyPairSpec	Filtra l'accesso GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext le operazioni in base al valore del KeyPairSpec parametro nella richiesta	Stringa
kms:EncryptionAlgorithm	Filtra l'accesso alle operazioni di crittografia in base al valore dell'algoritmo di crittografia nella richiesta	Stringa
kms:EncryptionContext:${EncryptionContextKey}	Filtra l'accesso a una chiave AWS KMS simmetrica in base al contesto di crittografia in un'operazione crittografica. Questa chiave di condizione valuta la chiave e il valore in ogni coppia chiave-valore del contesto di crittografia	Stringa
kms:EncryptionContextKeys	Filtra l'accesso a una chiave AWS KMS simmetrica in base al contesto di crittografia in un'operazione crittografica. Questa chiave di condizione valuta solo la chiave in ogni coppia chiave-valore del contesto di crittografia	ArrayOfString
kms:ExpirationModel	Filtra l'accesso all' ImportKeyMaterial operazione in base al valore del parametro nella richiesta ExpirationModel	Stringa
kms:GrantConstraintType	Filtra l'accesso all' CreateGrant operazione in base al vincolo di concessione nella richiesta	Stringa
kms:GrantIsForAWSResource	Filtra l'accesso all' CreateGrant operazione quando la richiesta proviene da un servizio specificato AWS	Bool
kms:GrantOperations	Filtra l'accesso all' CreateGrant operazione in base alle operazioni incluse nella concessione	ArrayOfString
kms:GranteePrincipal	Filtra l'accesso all' CreateGrant operazione in base al beneficiario principale della sovvenzione	Stringa
kms:KeyAgreementAlgorithm	Filtra l'accesso all' DeriveSharedSecret operazione in base al valore del KeyAgreementAlgorithm parametro nella richiesta	Stringa
kms:KeyOrigin	Filtra l'accesso a un'operazione API in base alla proprietà Origin della chiave AWS KMS creata o utilizzata nell'operazione. Usalo per qualificare l'autorizzazione dell' CreateKey operazione o di qualsiasi operazione autorizzata per una chiave KMS	Stringa
kms:KeySpec	Filtra l'accesso a un'operazione API in base alla KeySpec proprietà della chiave AWS KMS creata o utilizzata nell'operazione. Usalo per qualificare l'autorizzazione dell' CreateKey operazione o di qualsiasi operazione autorizzata per una risorsa chiave KMS	Stringa
kms:KeyUsage	Filtra l'accesso a un'operazione API in base alla KeyUsage proprietà della chiave AWS KMS creata o utilizzata nell'operazione. Usalo per qualificare l'autorizzazione dell' CreateKey operazione o di qualsiasi operazione autorizzata per una risorsa chiave KMS	Stringa
kms:MacAlgorithm	Filtra l'accesso GenerateMac e VerifyMac le operazioni in base al MacAlgorithm parametro nella richiesta	Stringa
kms:MessageType	Filtra l'accesso alle operazioni di firma e verifica in base al valore del MessageType parametro nella richiesta	Stringa
kms:MultiRegion	Filtra l'accesso a un'operazione API in base alla MultiRegion proprietà della chiave AWS KMS creata o utilizzata nell'operazione. Usalo per qualificare l'autorizzazione dell' CreateKey operazione o di qualsiasi operazione autorizzata per una risorsa chiave KMS	Bool
kms:MultiRegionKeyType	Filtra l'accesso a un'operazione API in base alla MultiRegionKeyType proprietà della chiave AWS KMS creata o utilizzata nell'operazione. Usalo per qualificare l'autorizzazione dell' CreateKey operazione o di qualsiasi operazione autorizzata per una risorsa chiave KMS	Stringa
kms:PrimaryRegion	Filtra l'accesso all' UpdatePrimaryRegion operazione in base al valore del PrimaryRegion parametro nella richiesta	Stringa
kms:ReEncryptOnSameKey	Filtra l'accesso all' ReEncrypt operazione quando utilizza la stessa chiave AWS KMS utilizzata per l'operazione Encrypt	Bool
kms:RecipientAttestation:ImageSha384	Filtra l'accesso alle GenerateRandom operazioni Decrypt,, DeriveSharedSecret GenerateDataKey GenerateDataKeyPair, e in base all'hash dell'immagine nel documento di attestazione contenuto nella richiesta	Stringa
kms:RecipientAttestation:PCR	Filtra l'accesso a Decrypt e GenerateRandom le operazioni in base ai registri di configurazione della piattaforma (PCR) nel documento di attestazione contenuto nella richiesta GenerateDataKey	Stringa
kms:ReplicaRegion	Filtra l'accesso all' ReplicateKey operazione in base al valore del parametro nella richiesta ReplicaRegion	Stringa
kms:RequestAlias	Filtra l'accesso alle operazioni DescribeKey crittografiche e GetPublicKey si basa sull'alias nella richiesta	Stringa
kms:ResourceAliases	Filtra l'accesso a operazioni AWS KMS specificate in base agli alias associati alla chiave KMS AWS	ArrayOfString
kms:RetiringPrincipal	Filtra l'accesso all' CreateGrant operazione in base al capitale uscente incluso nella sovvenzione	Stringa
kms:RotationPeriodInDays	Filtra l'accesso all' EnableKeyRotation operazione in base al valore del RotationPeriodInDays parametro nella richiesta	Numerico
kms:ScheduleKeyDeletionPendingWindowInDays	Filtra l'accesso all' ScheduleKeyDeletion operazione in base al valore del PendingWindowInDays parametro nella richiesta	Numerico
kms:SigningAlgorithm	Filtra l'accesso alle operazioni Sign e Verify in base all'algoritmo di firma nella richiesta	Stringa
kms:ValidTo	Filtra l'accesso all' ImportKeyMaterial operazione in base al valore del ValidTo parametro nella richiesta. Puoi utilizzare questa chiave di condizione per consentire agli utenti di importare il materiale della chiave solo alla sua scadenza, in base alla data specificata.	Data
kms:ViaService	Filtra l'accesso quando una richiesta effettuata per conto del committente proviene da un AWS servizio specificato	Stringa
kms:WrappingAlgorithm	Filtra l'accesso all' GetParametersForImport operazione in base al valore del WrappingAlgorithm parametro nella richiesta	Stringa
kms:WrappingKeySpec	Filtra l'accesso all' GetParametersForImport operazione in base al valore del WrappingKeySpec parametro nella richiesta	Stringa

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti