在 IAM 中使用 AWS KMS 策略 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 IAM 中使用 AWS KMS 策略

您可以使用 IAM 策略以及密钥策略授权VPC 终端节点策略来控制对 中 客户主密钥 (CMKs) 的访问AWS KMS。

注意

要使用 IAM 策略控制对 的访问CMK, 的密钥策略CMK必须向 账户授予使用 IAM 策略的权限。具体而言,密钥策略必须包含启用 IAM 策略的策略语句

本节介绍如何使用 IAM 策略控制对 AWS KMS 操作的访问。有关 IAM 的一般信息,请参阅 IAM 用户指南

所有 CMKs 必须具有密钥策略。 IAM 策略是可选的。要使用 IAM 策略控制对 的访问CMK, 的密钥策略CMK必须向 账户授予使用 IAM 策略的权限。具体而言,密钥策略必须包含启用 IAM 策略的策略语句

IAM 策略可以控制对任何 AWS KMS 操作的访问。与密钥策略不同, IAM 策略可以控制对多个 的访问CMKs,并为多个相关 AWS 服务的操作提供权限。但是,策略对于控制无法由密钥IAM策略控制的 操作(如 CreateKey的访问特别有用,因为它们不涉及任何特定的 CMK。

如果您通过 Amazon Virtual Private Cloud (Amazon VPC) 终端节点访问 AWS KMS,则也可以使用 VPC 终端节点策略限制使用终端节点对 AWS KMS 资源的访问。例如,使用 VPC 终端节点时,您可以仅允许您 AWS 账户中的委托人访问您的 CMKs。有关详细信息,请参阅 控制对 VPC 终端节点的访问

有关编写和格式化 JSON 策略文档的帮助,请参阅 IAM 用户指南中的 IAM JSON 策略参考