Permissões AWS KMS - AWS Key Management Service

Permissões AWS KMS

Esta tabela foi projetada para ajudar você a entender as permissões do AWS KMS para que você possa controlar o acesso a seus recursos do AWS KMS. As definições dos cabeçalhos das colunas aparecem abaixo da tabela.

Você também pode aprender sobre as permissões do AWS KMS no tópico Ações, recursos e chaves de condição para o AWS Key Management Service da Referência de autorização de serviço. No entanto, esse tópico não lista todas as chaves de condição que você pode usar para refinar cada permissão.

nota

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados da tabela.

Ações e permissões Tipo de política Uso entre contas Recursos (para políticas do IAM) Chaves de condição do AWS KMS

CancelKeyDeletion

kms:CancelKeyDeletion

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

Política do IAM Não

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

Para usar essa operação, o chamador precisa da permissão kms:CreateAlias em dois recursos:

  • O alias (em uma política do IAM)

  • A chave do KMS (em uma política de chaves)

Para obter mais detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Não

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para a chave do KMS)

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

Política do IAM Não

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

Política de chaves

Sim

Chave do KMS

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições de concessão:

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

CreateKey

kms:CreateKey

Política do IAM

Não

*

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ViaService

aws:RequestTag/tag-key (chave de condição global da AWS)

aws:ResourceTag/tag-key (chave de condição global da AWS)

aws:TagKeys (chave de condição global da AWS)

Decrypt

kms:Decrypt

Política de chaves

Sim

Chave do KMS

Condições para operações criptográficas

kms:EncryptionAlgorithm

kms:RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

DeleteAlias

kms:DeleteAlias

Para usar essa operação, o chamador precisa da permissão kms:DeleteAlias em dois recursos:

  • O alias (em uma política do IAM)

  • A chave do KMS (em uma política de chaves)

Para obter mais detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Não

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para a chave do KMS)

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

Política do IAM Não

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

Política do IAM Não

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

Política de chaves

Sim

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:RequestAlias

DisableKey

kms:DisableKey

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

Política do IAM Não

*

kms:CallerAccount

EnableKey

kms:EnableKey

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

Política de chaves

Não

Chave do KMS (somente simétrica)

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Encrypt

kms:Encrypt

Política de chaves

Sim

Chave do KMS

Condições para operações criptográficas

kms:EncryptionAlgorithm

kms:RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

Política de chaves

Sim

Chave do KMS (somente simétrica)

Condições para operações criptográficas

kms:EncryptionAlgorithm

kms:RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

Política de chaves

Sim

Chave do KMS (somente simétrica)

GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext geram um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.

Condições para pares de chaves de dados:

kms:DataKeyPairSpec

Condições para operações criptográficas

kms:EncryptionAlgorithm

kms:RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

Política de chaves

Sim

Chave do KMS (somente simétrica)

GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext geram um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.

Condições para pares de chaves de dados:

kms:DataKeyPairSpec

Condições para operações criptográficas

kms:EncryptionAlgorithm

kms:RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

Política de chaves

Sim

Chave do KMS (somente simétrica)

Condições para operações criptográficas

kms:EncryptionAlgorithm

kms:RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GenerateMac

kms:GenerateMac

Política de chaves Sim Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Condições para operações criptográficas:

kms:MacAlgorithm

kms:RequestAlias

GenerateRandom

kms:GenerateRandom

Política do IAM

N/D

*

Nenhum

GetKeyPolicy

kms:GetKeyPolicy

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

Política de chaves

Sim

Chave do KMS (somente simétrica)

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

Política de chaves

Não

Chave do KMS (somente simétrica)

kms:WrappingAlgorithm

kms:WrappingKeySpec

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

GetPublicKey

kms:GetPublicKey

Política de chaves

Sim

Chave do KMS (somente assimétrica)

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

Política de chaves

Não

Chave do KMS (somente simétrica)

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:ExpirationModel

kms:ValidTo

ListAliases

kms:ListAliases

Política do IAM

Não

*

Nenhum

ListGrants

kms:ListGrants

Política de chaves

Sim

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

ListKeys

kms:ListKeys

Política do IAM

Não

*

Nenhum

ListResourceTags

kms:ListResourceTags

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

Política do IAM

A entidade principal especificada deve estar na conta local, mas a operação retorna concessões em todas as contas.

*

Nenhum

PutKeyPolicy

kms:PutKeyPolicy

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

Para usar essa operação, o autor da chamada precisa de permissão em duas chaves do KMS:

  • kms:ReEncryptFrom na chave do KMS usada para descriptografar

  • kms:ReEncryptTo na chave do KMS usada para criptografar

Política de chaves

Sim

Chave do KMS

Condições para operações criptográficas

kms:EncryptionAlgorithm

kms:RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

Para usar essa operação, o autor da chamada precisa das seguintes permissões:

  • kms:ReplicateKey na chave primária de várias regiões

  • kms:CreateKey em uma política do IAM na região de réplica

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:ReplicaRegion

RetireGrant

kms:RetireGrant

A permissão para retirar uma concessão é determinada principalmente pela concessão. Uma política por si só não pode permitir o acesso a essa operação. Para mais informações, consulte Retirar e revogar concessões.

Política do IAM

(Essa permissão não é eficaz em uma política de chave.)

Sim

Chave do KMS

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

RevokeGrant

kms:RevokeGrant

Política de chaves

Sim

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições:

kms:GrantIsForAWSResource

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Sign

kms:Sign

Política de chaves

Sim

Chave do KMS (somente assimétrica)

Condições para assinatura e verificação:

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

TagResource

kms:TagResource

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Condições para marcação:

aws:RequestTag/tag-key (chave de condição global da AWS)

aws:TagKeys (chave de condição global da AWS)

UntagResource

kms:UntagResource

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Condições para marcação:

aws:RequestTag/tag-key (chave de condição global da AWS)

aws:TagKeys (chave de condição global da AWS)

UpdateAlias

kms:UpdateAlias

Para usar essa operação, o chamador precisa da permissão kms:UpdateAlias em três recursos:

  • O alias

  • A chave do KMS atualmente associada

  • A chave do KMS recém-associada

Para obter mais detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Não

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para as chaves do KMS)

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

Política do IAM Não

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

Para usar essa operação, o autor da chamada precisa da permissão kms:UpdatePrimaryRegion na chave primária de várias regiões que se tornará uma chave de réplica e também na chave de réplica de várias regiões que se tornará a chave primária.

Política de chaves

Não

Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Outras condições

kms:PrimaryRegion

Verificar

kms:Verify

Política de chaves

Sim

Chave do KMS (somente assimétrica)

Condições para assinatura e verificação:

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

VerifyMac

kms:VerifyMac

Política de chaves Sim Chave do KMS

Condições para operações de chave do KMS:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (chave de condição global da AWS)

kms:ViaService

Condições para operações criptográficas:

kms:MacAlgorithm

kms:RequestAlias

As colunas nesta tabela fornecem as seguintes informações:

  • Ações e permissões lista cada operação da API dp AWS KMS e a permissão que permite essa operação. Você especifica a operação no elemento Action de uma instrução de política.

  • Tipo de política indica se a permissão pode ser usada em uma política de chaves ou política do IAM.

    Política de chaves significa que você pode especificar a permissão na política de chaves. Quando a política de chaves contém a instrução de política que permite políticas do IAM, você pode especificar as permissões em uma política do IAM.

    Política do IAM significa que você pode especificar a permissão apenas em uma política do IAM.

  • Uso entre contas mostra as operações que os usuários autorizados podem executar em recursos em uma Conta da AWS diferente.

    Um valor de Yes (Sim) significa que as entidades principais podem executar a operação em recursos em uma Conta da AWS diferente.

    Um valor de No (Não) significa que as entidades principais podem executar a operação somente em recursos da própria Conta da AWS.

    Se você conceder a uma entidade principal em uma conta diferente uma permissão que não pode ser usada em um recurso entre contas, essa permissão não será efetiva. Por exemplo, se você fornecer a uma entidade principal em uma conta diferente a permissão kms:TagResource para uma chave do KMS na sua conta, suas tentativas de marcar a chave do KMS na sua conta falharão.

  • Resources (Recursos) lista os recursos do AWS KMS aos quais as permissões se aplicam. O AWS KMS é compatível com dois tipos de recursos: uma chave do KMS e um alias. Em uma política de chaves, o valor do elemento Resource é sempre *, o que indica a chave do KMS à qual a política de chaves está anexada.

    Use os valores a seguir para representar um recurso do AWS KMS em uma política do IAM.

    Chave do KMS

    Quando o recurso for uma chave do KMS, use seu ARN de chave. Para obter ajuda, consulte Como encontrar o ID e o ARN da chave.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    Por exemplo:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Alias

    Quando o recurso for um alias, use seu ARN do alias. Para obter ajuda, consulte Encontrar o nome e o ARN do alias.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    Por exemplo:

    arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

    * (asterisco)

    Quando a permissão não se aplicar a um recurso específico (chave do KMS ou alias), use um asterisco (*).

    Em uma política do IAM para uma permissão do AWS KMS, um asterisco no elemento Resource indica todos os recursos do AWS KMS (chaves do KMS e aliases). Também é possível usar um asterisco no elemento Resource quando a permissão do AWS KMS não se aplica a uma chave do KMS ou alias específico. Por exemplo, ao permitir ou negar kms:CreateKey ou ao permitir kms:ListKeys, é possível definir o elemento Resource como * ou como uma variação específica da conta, por exemplo, arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*.

  • Chaves de condição do AWS KMS lista as chaves de condição do AWS KMS que é possível usar para controlar o acesso à operação. Especifique as condições no elemento Condition de uma política. Para mais informações, consulte Chaves de condição do AWS KMS. Essa coluna também inclui chaves de condição global da AWS as quais têm suporte no AWS KMS, mas não em todos os serviços da AWS.