AWS KMS permissões - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS KMS permissões

Essa tabela foi criada para ajudar você a entender AWS KMS as permissões para que você possa controlar o acesso aos seus AWS KMS recursos. As definições dos cabeçalhos das colunas aparecem abaixo da tabela.

Você também pode aprender sobre AWS KMS permissões no AWS Key Management Service tópico Ações, recursos e chaves de condição do Service Authorization Reference. No entanto, esse tópico não lista todas as chaves de condição que você pode usar para refinar cada permissão.

nota

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados da tabela.

Ações e permissões Tipo de política Uso entre contas Recursos (para políticas do IAM) AWS KMS chaves de condição

CancelKeyDeletion

kms:CancelKeyDeletion

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

Política do IAM Não

*

kms: CallerAccount

CreateAlias

kms:CreateAlias

Para usar essa operação, o chamador precisa da permissão kms:CreateAlias em dois recursos:

  • O alias (em uma política do IAM)

  • A chave do KMS (em uma política de chaves)

Para obter detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Não

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para a chave do KMS)

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

Política do IAM Não

*

kms: CallerAccount

CreateGrant

kms:CreateGrant

Política de chave

Sim

Chave do KMS

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições de concessão:

kms: GrantConstraintType

kms: GranteePrincipal

kms: GrantIsFor AWSResource

kms: GrantOperations

kms: RetiringPrincipal

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

CreateKey

kms:CreateKey

Política do IAM

Não

*

kms: BypassPolicyLockoutSafetyCheck

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ViaService

aws:RequestTag/tag-key (chave de condição AWS global)

aws:ResourceTag/tag-key (chave de condição AWS global)

aws: TagKeys (chave de condição AWS global)

Decrypt

kms:Decrypt

Política de chave

Sim

Chave do KMS

Condições para operações criptográficas

kms: EncryptionAlgorithm

kms: RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

DeleteAlias

kms:DeleteAlias

Para usar essa operação, o chamador precisa da permissão kms:DeleteAlias em dois recursos:

  • O alias (em uma política do IAM)

  • A chave do KMS (em uma política de chaves)

Para obter detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Não

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para a chave do KMS)

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

Política do IAM Não

*

kms: CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

DedriveSharedSecret

kms:DeriveSharedSecret

Política de chave Sim Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Condições para operações criptográficas:

kms: KeyAgreementAlgorithm

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

Política do IAM Não

*

kms: CallerAccount

DescribeKey

kms:DescribeKey

Política de chave

Sim

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: RequestAlias

DisableKey

kms:DisableKey

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

DisableKeyRotation

kms:DisableKeyRotation

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

Política do IAM Não

*

kms: CallerAccount

EnableKey

kms:EnableKey

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

EnableKeyRotation

kms:EnableKeyRotation

Política de chave

Não

Chave do KMS (somente simétrica)

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Condições de rotação automática de chaves:

kms: RotationPeriodInDays

Encrypt

kms:Encrypt

Política de chave

Sim

Chave do KMS

Condições para operações criptográficas

kms: EncryptionAlgorithm

kms: RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GenerateDataKey

kms:GenerateDataKey

Política de chave

Sim

Chave do KMS (somente simétrica)

Condições para operações criptográficas

kms: EncryptionAlgorithm

kms: RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

Política de chave

Sim

Chave do KMS (somente simétrica)

Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.

Condições para pares de chaves de dados:

kms: DataKeyPairSpec

Condições para operações criptográficas

kms: EncryptionAlgorithm

kms: RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

Política de chave

Sim

Chave do KMS (somente simétrica)

Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.

Condições para pares de chaves de dados:

kms: DataKeyPairSpec

Condições para operações criptográficas

kms: EncryptionAlgorithm

kms: RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

Política de chave

Sim

Chave do KMS (somente simétrica)

Condições para operações criptográficas

kms: EncryptionAlgorithm

kms: RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GenerateMac

kms:GenerateMac

Política de chave Sim Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Condições para operações criptográficas:

kms: MacAlgorithm

kms: RequestAlias

GenerateRandom

kms:GenerateRandom

Política do IAM

N/D

*

Nenhum

GetKeyPolicy

kms:GetKeyPolicy

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

Política de chave

Sim

Chave do KMS (somente simétrica)

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GetParametersForImport

kms:GetParametersForImport

Política de chave

Não

Chave do KMS

kms: WrappingAlgorithm

kms: WrappingKeySpec

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

GetPublicKey

kms:GetPublicKey

Política de chave

Sim

Chave do KMS (somente assimétrica)

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: ExpirationModel

kms: ValidTo

ListAliases

kms:ListAliases

Política do IAM

Não

*

Nenhum

ListGrants

kms:ListGrants

Política de chave

Sim

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: GrantIsFor AWSResource

ListKeyPolicies

kms:ListKeyPolicies

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

ListKeyRotations

kms:ListKeyRotations

Política de chave

Não

Chave do KMS (somente simétrica)

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

ListKeys

kms:ListKeys

Política do IAM

Não

*

Nenhum

ListResourceTags

kms:ListResourceTags

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

ListRetirableGrants

kms:ListRetirableGrants

Política do IAM

A entidade principal especificada deve estar na conta local, mas a operação retorna concessões em todas as contas.

*

Nenhum

PutKeyPolicy

kms:PutKeyPolicy

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

Para usar essa operação, o autor da chamada precisa de permissão em duas chaves do KMS:

  • kms:ReEncryptFrom na chave do KMS usada para descriptografar

  • kms:ReEncryptTo na chave do KMS usada para criptografar

Política de chave

Sim

Chave do KMS

Condições para operações criptográficas

kms: EncryptionAlgorithm

kms: RequestAlias

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

Para usar essa operação, o autor da chamada precisa das seguintes permissões:

  • kms:ReplicateKey na chave primária de várias regiões

  • kms:CreateKey em uma política do IAM na região de réplica

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: ReplicaRegion

RetireGrant

kms:RetireGrant

A permissão para retirar uma concessão é determinada principalmente pela concessão. Uma política por si só não pode permitir o acesso a essa operação. Para ter mais informações, consulte Retirar e revogar concessões.

Política do IAM

(Essa permissão não é eficaz em uma política de chave.)

Sim

Chave do KMS

Condições para contexto de criptografia:

kms:EncryptionContext: chave de contexto

kms: EncryptionContextKeys

Condições de concessão:

kms: GrantConstraintType

Condições para operações de chave do KMS:

kms: CallerAccount

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

RevokeGrant

kms:RevokeGrant

Política de chave

Sim

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições:

kms: GrantIsFor AWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

Política de chave

Não

Chave do KMS (somente simétrica)

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Sign

kms:Sign

Política de chave

Sim

Chave do KMS (somente assimétrica)

Condições para assinatura e verificação:

kms: MessageType

kms: RequestAlias

kms: SigningAlgorithm

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

TagResource

kms:TagResource

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Condições para marcação:

aws:RequestTag/tag-key (chave de condição AWS global)

aws: TagKeys (chave de condição AWS global)

UntagResource

kms:UntagResource

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Condições para marcação:

aws:RequestTag/tag-key (chave de condição AWS global)

aws: TagKeys (chave de condição AWS global)

UpdateAlias

kms:UpdateAlias

Para usar essa operação, o chamador precisa da permissão kms:UpdateAlias em três recursos:

  • O alias

  • A chave do KMS atualmente associada

  • A chave do KMS recém-associada

Para obter detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Não

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para as chaves do KMS)

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

Política do IAM Não

*

kms: CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

Para usar essa operação, o autor da chamada precisa da permissão kms:UpdatePrimaryRegion na chave primária de várias regiões que se tornará uma chave de réplica e também na chave de réplica de várias regiões que se tornará a chave primária.

Política de chave

Não

Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Outras condições

kms: PrimaryRegion

Verificar

kms:Verify

Política de chave

Sim

Chave do KMS (somente assimétrica)

Condições para assinatura e verificação:

kms: MessageType

kms: RequestAlias

kms: SigningAlgorithm

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

VerifyMac

kms:VerifyMac

Política de chave Sim Chave do KMS

Condições para operações de chave do KMS:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws:ResourceTag/tag-key (chave de condição AWS global)

kms: ViaService

Condições para operações criptográficas:

kms: MacAlgorithm

kms: RequestAlias

Descrições das colunas

As colunas nesta tabela fornecem as seguintes informações:

  • Ações e permissões listam cada operação da AWS KMS API e a permissão que permite a operação. Você especifica a operação no elemento Action de uma instrução de política.

  • Tipo de política indica se a permissão pode ser usada em uma política de chaves ou política do IAM.

    Política de chaves significa que você pode especificar a permissão na política de chaves. Quando a política de chaves contém a instrução de política que permite políticas do IAM, você pode especificar as permissões em uma política do IAM.

    Política do IAM significa que você pode especificar a permissão apenas em uma política do IAM.

  • Uso entre contas mostra as operações que os usuários autorizados podem executar em recursos em uma Conta da AWS diferente.

    Um valor de Yes (Sim) significa que as entidades principais podem executar a operação em recursos em uma Conta da AWS diferente.

    Um valor de No (Não) significa que as entidades principais podem executar a operação somente em recursos da própria Conta da AWS.

    Se você conceder a uma entidade principal em uma conta diferente uma permissão que não pode ser usada em um recurso entre contas, essa permissão não será efetiva. Por exemplo, se você der TagResource permissão a um principal em uma conta diferente kms: para uma chave KMS em sua conta, as tentativas dele de marcar a chave KMS em sua conta falharão.

  • Recursos lista os AWS KMS recursos aos quais as permissões se aplicam. AWS KMS suporta dois tipos de recursos: uma chave KMS e um alias. Em uma política de chaves, o valor do elemento Resource é sempre *, o que indica a chave do KMS à qual a política de chaves está anexada.

    Use os valores a seguir para representar um AWS KMS recurso em uma política do IAM.

    Chave KMS

    Quando o recurso for uma chave do KMS, use seu ARN de chave. Para obter ajuda, consulte Encontrando o ID da chave e a chave ARN.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    Por exemplo: .

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Alias

    Quando o recurso for um alias, use seu ARN do alias. Para obter ajuda, consulte Encontrando o nome e o alias do alias ARN.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    Por exemplo: .

    arn: aws: kms: us-west- 2:111122223333:alias/ ExampleAlias

    * (asterisco)

    Quando a permissão não se aplicar a um recurso específico (chave do KMS ou alias), use um asterisco (*).

    Em uma política do IAM para uma AWS KMS permissão, um asterisco no Resource elemento indica todos os AWS KMS recursos (chaves e aliases do KMS). Você também pode usar um asterisco no Resource elemento quando a AWS KMS permissão não se aplica a nenhuma chave ou alias KMS em particular. Por exemplo, ao permitir ou negar kms:CreateKey ou ao permitir kms:ListKeys, é possível definir o elemento Resource como * ou como uma variação específica da conta, por exemplo, arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*.

  • AWS KMS as chaves de AWS KMS condição listam as chaves de condição que você pode usar para controlar o acesso à operação. Especifique as condições no elemento Condition de uma política. Para ter mais informações, consulte AWS KMS chaves de condição. Essa coluna também inclui chaves de condição AWS globais que são suportadas por AWS KMS, mas não por todos os AWS serviços.