AWS KMS 中的密钥策略 - AWS Key Management Service

AWS KMS 中的密钥策略

密钥策略为 AWS KMS key 的资源策略。密钥策略是控制对 KMS 密钥访问的主要方法。每个 KMS 密钥必须只有一个密钥策略。密钥策略中的语句确定谁有权限使用 KMS 密钥以及如何使用 KMS 密钥。您还可使用 IAM policy授权来控制对 KMS 密钥的访问,但每个 KMS 密钥必须有一个密钥策略。

除非密钥策略、IAM policy 或授权中明确允许且从未被拒绝,否则任何 AWS 主体(包括账户根用户或密钥创建者)都没有 KMS 密钥的任何权限。

除非密钥策略明确允许,否则您不能使用 IAM policy 允许访问 KMS 密钥。未经密钥策略许可,允许权限的 IAM policy 无效。(您可以使用 IAM policy 来拒绝在未经密钥策略许可的情况下对 KMS 密钥的访问权限。) 默认密钥策略启用 IAM policy。若要在密钥策略中启用 IAM policy,请添加 允许访问 AWS 账户 并启用 IAM policy 中所述的策略语句。

与全局性的 IAM policy 不同,密钥策略是区域性策略。密钥策略仅控制对同一区域中 KMS 密钥的访问。该策略对其他地区的 KMS 密钥无效。