As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS KMS permissões
Essa tabela foi criada para ajudar você a entender AWS KMS as permissões para que você possa controlar o acesso aos seus AWS KMS recursos. As definições dos cabeçalhos das colunas aparecem abaixo da tabela.
Você também pode aprender sobre AWS KMS permissões no AWS Key Management Service tópico Ações, recursos e chaves de condição do Service Authorization Reference. No entanto, esse tópico não lista todas as chaves de condição que você pode usar para refinar cada permissão.
nota
Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados da tabela.
Ações e permissões | Tipo de política | Uso entre contas | Recursos (para políticas do IAM) | AWS KMS chaves de condição |
---|---|---|---|---|
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
ConnectCustomKeyStore
|
Política do IAM | Não |
|
|
Para usar essa operação, o chamador precisa da permissão
Para obter detalhes, consulte Controlar o acesso a aliases. |
Política do IAM (para o alias) |
Não |
Alias |
Nenhum (quando controlar o acesso ao alias) |
Política de chaves (para a chave do KMS) |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
CreateCustomKeyStore
|
Política do IAM | Não |
|
|
|
Política de chave |
Sim |
Chave do KMS |
Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições de concessão: Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política do IAM |
Não |
|
kms: BypassPolicyLockoutSafetyCheck aws:RequestTag/tag-key (chave de condição AWS global) aws:ResourceTag/tag-key (chave de condição AWS global) aws: TagKeys (chave de condição AWS global) |
|
Política de chave |
Sim |
Chave do KMS |
Condições para operações criptográficas Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
Para usar essa operação, o chamador precisa da permissão
Para obter detalhes, consulte Controlar o acesso a aliases. |
Política do IAM (para o alias) |
Não |
Alias |
Nenhum (quando controlar o acesso ao alias) |
Política de chaves (para a chave do KMS) |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
DeleteCustomKeyStore
|
Política do IAM | Não |
|
|
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
DedriveSharedSecret
|
Política de chave | Sim | Chave do KMS | Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Condições para operações criptográficas: |
DescribeCustomKeyStores
|
Política do IAM | Não |
|
|
|
Política de chave |
Sim |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
DisconnectCustomKeyStore
|
Política do IAM | Não |
|
|
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Não |
Chave do KMS (somente simétrica) |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Condições de rotação automática de chaves: |
|
Política de chave |
Sim |
Chave do KMS |
Condições para operações criptográficas Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Sim |
Chave do KMS (somente simétrica) |
Condições para operações criptográficas Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Sim |
Chave do KMS (somente simétrica) Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica. |
Condições para pares de chaves de dados: Condições para operações criptográficas Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
GenerateDataKeyPairWithoutPlaintext
|
Política de chave |
Sim |
Chave do KMS (somente simétrica) Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica. |
Condições para pares de chaves de dados: Condições para operações criptográficas Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
GenerateDataKeyWithoutPlaintext
|
Política de chave |
Sim |
Chave do KMS (somente simétrica) |
Condições para operações criptográficas Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
GenerateMac
|
Política de chave | Sim | Chave do KMS | Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Condições para operações criptográficas: |
|
Política do IAM |
N/D |
|
Nenhum |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Sim |
Chave do KMS (somente simétrica) |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Sim |
Chave do KMS (somente assimétrica) |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: kms: ExpirationModel |
|
Política do IAM |
Não |
|
Nenhum |
|
Política de chave |
Sim |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Não |
Chave do KMS (somente simétrica) |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política do IAM |
Não |
|
Nenhum |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política do IAM |
A entidade principal especificada deve estar na conta local, mas a operação retorna concessões em todas as contas. |
|
Nenhum |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: |
Para usar essa operação, o autor da chamada precisa de permissão em duas chaves do KMS:
|
Política de chave |
Sim |
Chave do KMS |
Condições para operações criptográficas Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: |
Para usar essa operação, o autor da chamada precisa das seguintes permissões:
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: |
A permissão para retirar uma concessão é determinada principalmente pela concessão. Uma política por si só não pode permitir o acesso a essa operação. Para ter mais informações, consulte Retirar e revogar concessões. |
Política do IAM (Essa permissão não é eficaz em uma política de chave.) |
Sim |
Chave do KMS |
Condições para contexto de criptografia: kms:EncryptionContext: chave de contexto Condições de concessão: Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Sim |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições: |
|
Política de chave |
Não |
Chave do KMS (somente simétrica) |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Sim |
Chave do KMS (somente assimétrica) |
Condições para assinatura e verificação: kms: RequestAliasCondições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Condições para marcação: aws:RequestTag/tag-key (chave de condição AWS global) aws: TagKeys (chave de condição AWS global) |
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Condições para marcação: aws:RequestTag/tag-key (chave de condição AWS global) aws: TagKeys (chave de condição AWS global) |
Para usar essa operação, o chamador precisa da permissão
Para obter detalhes, consulte Controlar o acesso a aliases. |
Política do IAM (para o alias) |
Não |
Alias |
Nenhum (quando controlar o acesso ao alias) |
Política de chaves (para as chaves do KMS) |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
|
UpdateCustomKeyStore
|
Política do IAM | Não |
|
|
|
Política de chave |
Não |
Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
Para usar essa operação, o autor da chamada precisa da permissão |
Política de chave |
Não | Chave do KMS |
Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Outras condições |
|
Política de chave |
Sim | Chave do KMS (somente assimétrica) |
Condições para assinatura e verificação: kms: RequestAliasCondições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) |
VerifyMac
|
Política de chave | Sim | Chave do KMS | Condições para operações de chave do KMS: aws:ResourceTag/tag-key (chave de condição AWS global) Condições para operações criptográficas: |
Descrições das colunas
As colunas nesta tabela fornecem as seguintes informações:
-
Ações e permissões listam cada operação da AWS KMS API e a permissão que permite a operação. Você especifica a operação no elemento
Action
de uma instrução de política. -
Tipo de política indica se a permissão pode ser usada em uma política de chaves ou política do IAM.
Política de chaves significa que você pode especificar a permissão na política de chaves. Quando a política de chaves contém a instrução de política que permite políticas do IAM, você pode especificar as permissões em uma política do IAM.
Política do IAM significa que você pode especificar a permissão apenas em uma política do IAM.
-
Uso entre contas mostra as operações que os usuários autorizados podem executar em recursos em uma Conta da AWS diferente.
Um valor de Yes (Sim) significa que as entidades principais podem executar a operação em recursos em uma Conta da AWS diferente.
Um valor de No (Não) significa que as entidades principais podem executar a operação somente em recursos da própria Conta da AWS.
Se você conceder a uma entidade principal em uma conta diferente uma permissão que não pode ser usada em um recurso entre contas, essa permissão não será efetiva. Por exemplo, se você der TagResource permissão a um principal em uma conta diferente kms: para uma chave KMS em sua conta, as tentativas dele de marcar a chave KMS em sua conta falharão.
-
Recursos lista os AWS KMS recursos aos quais as permissões se aplicam. AWS KMS suporta dois tipos de recursos: uma chave KMS e um alias. Em uma política de chaves, o valor do elemento
Resource
é sempre*
, o que indica a chave do KMS à qual a política de chaves está anexada.Use os valores a seguir para representar um AWS KMS recurso em uma política do IAM.
- Chave KMS
-
Quando o recurso for uma chave do KMS, use seu ARN de chave. Para obter ajuda, consulte Encontrando o ID da chave e a chave ARN.
arn:
AWS_partition_name
:kms:AWS_Region
:AWS_account_ID
:key/key_ID
Por exemplo: .
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- Alias
-
Quando o recurso for um alias, use seu ARN do alias. Para obter ajuda, consulte Encontrando o nome e o alias do alias ARN.
arn:
AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:alias/alias_name
Por exemplo: .
arn: aws: kms: us-west- 2:111122223333:alias/ ExampleAlias
*
(asterisco)-
Quando a permissão não se aplicar a um recurso específico (chave do KMS ou alias), use um asterisco (
*
).Em uma política do IAM para uma AWS KMS permissão, um asterisco no
Resource
elemento indica todos os AWS KMS recursos (chaves e aliases do KMS). Você também pode usar um asterisco noResource
elemento quando a AWS KMS permissão não se aplica a nenhuma chave ou alias KMS em particular. Por exemplo, ao permitir ou negarkms:CreateKey
ou ao permitirkms:ListKeys
, é possível definir o elementoResource
como*
ou como uma variação específica da conta, por exemplo,arn:
.AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:*
-
AWS KMS as chaves de AWS KMS condição listam as chaves de condição que você pode usar para controlar o acesso à operação. Especifique as condições no elemento
Condition
de uma política. Para ter mais informações, consulte AWS KMS chaves de condição. Essa coluna também inclui chaves de condição AWS globais que são suportadas por AWS KMS, mas não por todos os AWS serviços.