结合 IAM 策略和 AWS KMS - AWS Key Management Service

结合 IAM 策略和 AWS KMS

您可以使用 IAM 策略以及密钥策略授权VPC 终端节点策略来在 AWS KMS 中控制对您的 AWS KMS keys 的访问权限。

注意

要使用 IAM 策略控制对 KMS 密钥的访问,KMS 密钥的密钥策略必须授予账户使用 IAM 策略的权限。具体而言,密钥策略必须包含启用 IAM 策略的策略语句

本节介绍如何使用 IAM 策略控制对 AWS KMS 操作的访问。有关 IAM 的更多一般信息,请参阅 IAM 用户指南

所有 KMS 密钥都必须具有密钥策略。IAM 策略是可选的。要使用 IAM 策略控制对 KMS 密钥的访问,KMS 密钥的密钥策略必须授予账户使用 IAM 策略的权限。具体而言,密钥策略必须包含启用 IAM 策略的策略语句

IAM 策略可以控制对任何 AWS KMS 操作的访问。与密钥策略不同,IAM 策略可以控制对多个 KMS 密钥的访问,并为多个相关 AWS 服务的操作提供权限。但 IAM 策略对于控制对操作的访问特别有用,例如 CreateKey,这类操作不能由密钥策略控制,因为它们不涉及任何特定的 KMS 密钥。

如果您通过 Amazon Virtual Private Cloud (Amazon VPC) 终端节点访问 AWS KMS,您还可以在使用 VPC 终端节点时使用该终端节点的策略来限制对 AWS KMS 资源的访问。例如,使用 VPC 终端节点时,您可能只允许 AWS 账户 中的委托人访问您的客户托管密钥。有关详细信息,请参阅控制对 VPC 终端节点的访问

有关编写和格式化 JSON 策略文档的帮助,请参阅 IAM 用户指南中的 IAM JSON 策略参考