结合 IAM policy 和 AWS KMS

您可以使用 IAM policy 以及密钥策略、授权和 VPC 端点策略来在 AWS KMS 中控制对您的 AWS KMS keys 的访问权限。

注意

要使用 IAM policy 控制对 KMS 密钥的访问，KMS 密钥的密钥政策必须授予账户使用 IAM policy 的权限。具体而言，密钥策略必须包含启用 IAM policy 的策略语句。

本节介绍如何使用 IAM policy 控制对 AWS KMS 操作的访问。有关 IAM 的更多一般信息，请参阅 IAM 用户指南。

所有 KMS 密钥都必须具有密钥策略。IAM policy 是可选的。要使用 IAM policy 控制对 KMS 密钥的访问，KMS 密钥的密钥政策必须授予账户使用 IAM policy 的权限。具体而言，密钥策略必须包含启用 IAM policy 的策略语句。

IAM policy 可以控制对任何 AWS KMS 操作的访问。与密钥策略不同，IAM policy 可以控制对多个 KMS 密钥的访问，并为多个相关 AWS 服务的操作提供权限。但是，IAM 策略对于控制对操作的访问特别有用 CreateKey，例如无法由密钥策略控制的操作，因为它们不涉及任何特定的 KMS 密钥。

如果您通过 Amazon Virtual Private Cloud (Amazon VPC) 终端节点访问 AWS KMS，您还可以在使用 VPC 终端节点时使用该终端节点的策略来限制对 AWS KMS 资源的访问。例如，使用 VPC 终端节点时，您可能只允许 AWS 账户 中的委托人访问您的客户托管密钥。有关更多信息，请参阅 控制对 VPC 终端节点的访问。

有关编写和格式化 JSON 策略文档的帮助，请参阅 IAM 用户指南中的 IAM JSON 策略参考。

主题

• IAM policy 概述
• IAM policy 的最佳实践
• 在 IAM policy 语句中指定 KMS 密钥
• 使用 AWS KMS 控制台所需的权限
• 针对高级用户的 AWS 托管策略
• IAM 策略示例