AWS KMS 权限 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS KMS 权限

此表旨在帮助您了解 AWS KMS 权限,以便您可以控制对 AWS KMS 资源的访问权限。表格下方会显示列标题的定义。

您还可以在服务授权参考 AWS Key Management Service主题的操作、资源和条件键中了解 AWS KMS 权限。但是,该主题并未列出可用于优化每个权限的所有条件键。

注意

您可能需要水平或垂直滚动才能查看表中的所有数据。

操作和权限 策略类型 跨账户使用 资源(适用于 IAM policy) AWS KMS 条件键

CancelKeyDeletion

kms:CancelKeyDeletion

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM policy

*

kms: CallerAccount

CreateAlias

kms:CreateAlias

要使用此操作,调用方需要对以下两个资源具有 kms:CreateAlias 权限:

  • 别名(在 IAM policy 中)

  • KMS 密钥(在密钥策略中)

有关更多信息,请参阅 控制对别名的访问

IAM policy(适用于别名)

别名

无(控制对别名的访问时)

密钥策略(适用于 KMS 密钥)

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM policy

*

kms: CallerAccount

CreateGrant

kms:CreateGrant

密钥策略

KMS 密钥

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

授予条件:

kms: GrantConstraintType

kms: GranteePrincipal

kms: GrantIsFor AWSResource

kms: GrantOperations

kms: RetiringPrincipal

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

CreateKey

kms:CreateKey

IAM policy

*

kms: BypassPolicyLockoutSafetyCheck

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ViaService

a@@ ws:RequestTag/tag-key(AWS 全局条件密钥

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

a@@ ws: TagKeys(AWS 全局条件密钥)

Decrypt

kms:Decrypt

密钥策略

KMS 密钥

加密操作的条件

kms: EncryptionAlgorithm

kms: RequestAlias

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

DeleteAlias

kms:DeleteAlias

要使用此操作,调用方需要对以下两个资源具有 kms:DeleteAlias 权限:

  • 别名(在 IAM policy 中)

  • KMS 密钥(在密钥策略中)

有关更多信息,请参阅 控制对别名的访问

IAM policy(适用于别名)

别名

无(控制对别名的访问时)

密钥策略(适用于 KMS 密钥)

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM policy

*

kms: CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

DedriveSharedSecret

kms:DeriveSharedSecret

密钥策略 KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

加密操作的条件:

kms: KeyAgreementAlgorithm

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM policy

*

kms: CallerAccount

DescribeKey

kms:DescribeKey

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: RequestAlias

DisableKey

kms:DisableKey

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

DisableKeyRotation

kms:DisableKeyRotation

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM policy

*

kms: CallerAccount

EnableKey

kms:EnableKey

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

EnableKeyRotation

kms:EnableKeyRotation

密钥策略

KMS 密钥(仅限对称)

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

自动密钥轮换条件:

kms: RotationPeriodInDays

Encrypt

kms:Encrypt

密钥策略

KMS 密钥

加密操作的条件

kms: EncryptionAlgorithm

kms: RequestAlias

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GenerateDataKey

kms:GenerateDataKey

密钥策略

KMS 密钥(仅限对称)

加密操作的条件

kms: EncryptionAlgorithm

kms: RequestAlias

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

密钥策略

KMS 密钥(仅限对称)

生成受对称加密 KMS 密钥保护的非对称数据密钥对。

数据密钥对的条件:

kms: DataKeyPairSpec

加密操作的条件

kms: EncryptionAlgorithm

kms: RequestAlias

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

密钥策略

KMS 密钥(仅限对称)

生成受对称加密 KMS 密钥保护的非对称数据密钥对。

数据密钥对的条件:

kms: DataKeyPairSpec

加密操作的条件

kms: EncryptionAlgorithm

kms: RequestAlias

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

密钥策略

KMS 密钥(仅限对称)

加密操作的条件

kms: EncryptionAlgorithm

kms: RequestAlias

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GenerateMac

kms:GenerateMac

密钥策略 KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

加密操作的条件:

kms: MacAlgorithm

kms: RequestAlias

GenerateRandom

kms:GenerateRandom

IAM policy

不适用

*

GetKeyPolicy

kms:GetKeyPolicy

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

密钥策略

KMS 密钥(仅限对称)

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GetParametersForImport

kms:GetParametersForImport

密钥策略

KMS 密钥

kms: WrappingAlgorithm

kms: WrappingKeySpec

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

GetPublicKey

kms:GetPublicKey

密钥策略

KMS 密钥(仅限非对称)

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: ExpirationModel

kms: ValidTo

ListAliases

kms:ListAliases

IAM policy

*

ListGrants

kms:ListGrants

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: GrantIsFor AWSResource

ListKeyPolicies

kms:ListKeyPolicies

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

ListKeyRotations

kms:ListKeyRotations

密钥策略

KMS 密钥(仅限对称)

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

ListKeys

kms:ListKeys

IAM policy

*

ListResourceTags

kms:ListResourceTags

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM policy

指定的委托人必须位于本地账户中,但操作将返回所有账户中的授权。

*

PutKeyPolicy

kms:PutKeyPolicy

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

要使用此操作,调用方需要对以下两个 KMS 密钥具有权限:

  • KMS 密钥上的 kms:ReEncryptFrom,用于解密

  • KMS 密钥上的 kms:ReEncryptTo,用于加密

密钥策略

KMS 密钥

加密操作的条件

kms: EncryptionAlgorithm

kms: RequestAlias

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

要使用此操作,调用方需要具有以下权限:

  • 多区域主键上的 kms:ReplicateKey

  • 副本区域中的 IAM policy 中的 kms:CreateKey

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: ReplicaRegion

RetireGrant

kms:RetireGrant

撤销授予的权限主要由授予决定。单独的策略无法允许访问此操作。有关更多信息,请参阅 停用和撤销授权

IAM policy

(此权限在密钥策略中无效。)

KMS 密钥

加密上下文条件:

kms:EncryptionContext: 上下文密钥

kms: EncryptionContextKeys

授予条件:

kms: GrantConstraintType

KMS 密钥操作的条件:

kms: CallerAccount

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

RevokeGrant

kms:RevokeGrant

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件:

kms: GrantIsFor AWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

密钥策略

KMS 密钥(仅限对称)

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

Sign

kms:Sign

密钥策略

KMS 密钥(仅限非对称)

签名和验证条件:

kms: MessageType

kms: RequestAlias

kms: SigningAlgorithm

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

TagResource

kms:TagResource

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

标记条件:

a@@ ws:RequestTag/tag-key(AWS 全局条件密钥

a@@ ws: TagKeys(AWS 全局条件密钥)

UntagResource

kms:UntagResource

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

标记条件:

a@@ ws:RequestTag/tag-key(AWS 全局条件密钥

a@@ ws: TagKeys(AWS 全局条件密钥)

UpdateAlias

kms:UpdateAlias

要使用此操作,调用方需要对以下三个资源具有 kms:UpdateAlias 权限:

  • 别名

  • 当前关联的 KMS 密钥

  • 新关联的 KMS 密钥

有关更多信息,请参阅 控制对别名的访问

IAM policy(适用于别名)

别名

无(控制对别名的访问时)

密钥策略(适用于 KMS 密钥)

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM policy

*

kms: CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

要使用此操作,调用方需要对将成为副本密钥的多区域主键和将成为主键的多区域副本密钥同时具有 kms:UpdatePrimaryRegion 权限。

密钥策略

KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

其他条件

kms: PrimaryRegion

验证

kms:Verify

密钥策略

KMS 密钥(仅限非对称)

签名和验证条件:

kms: MessageType

kms: RequestAlias

kms: SigningAlgorithm

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

VerifyMac

kms:VerifyMac

密钥策略 KMS 密钥

KMS 密钥操作的条件:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥

kms: ViaService

加密操作的条件:

kms: MacAlgorithm

kms: RequestAlias

列描述

此表中的各列提供以下信息:

  • 操作和权限列出了每个 AWS KMS API 操作以及允许该操作的权限。您可以在策略语句的 Action 元素中指定操作。

  • 策略类型指示权限是否可在密钥策略或 IAM policy 中使用。

    密钥策略意味着您可以在密钥策略中指定权限。当密钥政策包含启用 IAM policy 的策略语句时,您可以在 IAM policy 中指定权限。

    IAM policy 意味着您只能在 IAM policy 中指定权限。

  • 跨账户使用显示了授权用户可以对其他 AWS 账户中的资源执行的操作。

    Yes(是)表示委托人可以对其他 AWS 账户中的资源执行操作。

    No(否)表示委托人只能对其自己的 AWS 账户中的资源执行操作。

    如果您为不同账户中的委托人授予一个不能在跨账户资源上使用的权限,则该权限将无效。例如,如果您向其他账户中的委托人授予对您账户中 K MS 密钥的TagResource权限,则他们尝试在您的账户中标记 KMS 密钥将失败。

  • 资源列出了权限适用的 AWS KMS 资源。 AWS KMS 支持两种资源类型:KMS 密钥和别名。在密钥策略中,Resource 元素的值始终为 *,这表示密钥策略附加到的 KMS 密钥。

    使用以下值表示 IAM 策略中的 AWS KMS 资源。

    KMS 密钥

    当资源是 KMS 密钥时,请使用其密钥 ARN。有关帮助信息,请参阅 查找密钥 ID 和密钥 ARN

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    例如:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    别名

    当资源是别名时,请使用其别名 ARN。有关帮助信息,请参阅 查找别名和别名 ARN

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    例如:

    arn: aws: kms: us-west-2:111122223333: alias/ ExampleAlias

    *(星号)

    当权限不适用于特定资源(KMS 密钥或别名)时,请使用星号 (*)。

    在 IAM AWS KMS 权限策略中,Resource元素中的星号表示所有 AWS KMS 资源(KMS 密钥和别名)。当 AWS KMS 权限不适用于任何特定的 KMS 密钥或别名时,您也可以在Resource元素中使用星号。例如,当允许或拒绝 kms:CreateKeykms:ListKeys 权限时,您可以将 Resource 元素设置为 *,也可以设置为账户特定的变体,例如 arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*

  • AWS KMS 条件键列出了可用于控制对操作的访问的 AWS KMS 条件键。您可以在策略的 Condition 元素中指定条件。有关更多信息,请参阅 AWS KMS 条件键。此列还包括所有服务都支持但并非所有 AWS 服务都支持的AWSAWS KMS全局条件键