本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS KMS 权限
此表旨在帮助您了解 AWS KMS 权限,以便您可以控制对 AWS KMS 资源的访问权限。表格下方会显示列标题的定义。
您还可以在服务授权参考 AWS Key Management Service主题的操作、资源和条件键中了解 AWS KMS 权限。但是,该主题并未列出可用于优化每个权限的所有条件键。
注意
您可能需要水平或垂直滚动才能查看表中的所有数据。
操作和权限 | 策略类型 | 跨账户使用 | 资源(适用于 IAM policy) | AWS KMS 条件键 |
---|---|---|---|---|
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
ConnectCustomKeyStore
|
IAM policy | 否 |
|
|
要使用此操作,调用方需要对以下两个资源具有
有关更多信息,请参阅 控制对别名的访问。 |
IAM policy(适用于别名) |
否 |
别名 |
无(控制对别名的访问时) |
密钥策略(适用于 KMS 密钥) |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
CreateCustomKeyStore
|
IAM policy | 否 |
|
|
|
密钥策略 |
是 |
KMS 密钥 |
加密上下文条件: 授予条件: KMS 密钥操作的条件: |
|
IAM policy |
否 |
|
kms: BypassPolicyLockoutSafetyCheck a@@ ws:RequestTag/tag-key(AWS 全局条件密钥) a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) a@@ ws: TagKeys(AWS 全局条件密钥) |
|
密钥策略 |
是 |
KMS 密钥 |
加密操作的条件 加密上下文条件: KMS 密钥操作的条件: |
要使用此操作,调用方需要对以下两个资源具有
有关更多信息,请参阅 控制对别名的访问。 |
IAM policy(适用于别名) |
否 |
别名 |
无(控制对别名的访问时) |
密钥策略(适用于 KMS 密钥) |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
DeleteCustomKeyStore
|
IAM policy | 否 |
|
|
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
DedriveSharedSecret
|
密钥策略 | 是 | KMS 密钥 | KMS 密钥操作的条件: 加密操作的条件: |
DescribeCustomKeyStores
|
IAM policy | 否 |
|
|
|
密钥策略 |
是 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
DisconnectCustomKeyStore
|
IAM policy | 否 |
|
|
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
密钥策略 |
否 |
KMS 密钥(仅限对称) |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 自动密钥轮换条件: |
|
密钥策略 |
是 |
KMS 密钥 |
加密操作的条件 加密上下文条件: KMS 密钥操作的条件: |
|
密钥策略 |
是 |
KMS 密钥(仅限对称) |
加密操作的条件 加密上下文条件: KMS 密钥操作的条件: |
|
密钥策略 |
是 |
KMS 密钥(仅限对称) 生成受对称加密 KMS 密钥保护的非对称数据密钥对。 |
数据密钥对的条件: 加密操作的条件 加密上下文条件: KMS 密钥操作的条件: |
GenerateDataKeyPairWithoutPlaintext
|
密钥策略 |
是 |
KMS 密钥(仅限对称) 生成受对称加密 KMS 密钥保护的非对称数据密钥对。 |
数据密钥对的条件: 加密操作的条件 加密上下文条件: KMS 密钥操作的条件: |
GenerateDataKeyWithoutPlaintext
|
密钥策略 |
是 |
KMS 密钥(仅限对称) |
加密操作的条件 加密上下文条件: KMS 密钥操作的条件: |
GenerateMac
|
密钥策略 | 是 | KMS 密钥 | KMS 密钥操作的条件: 加密操作的条件: |
|
IAM policy |
不适用 |
|
无 |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
密钥策略 |
是 |
KMS 密钥(仅限对称) |
KMS 密钥操作的条件: |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
密钥策略 |
是 |
KMS 密钥(仅限非对称) |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: kms: ExpirationModel |
|
IAM policy |
否 |
|
无 |
|
密钥策略 |
是 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
密钥策略 |
否 |
KMS 密钥(仅限对称) |
KMS 密钥操作的条件: |
|
IAM policy |
否 |
|
无 |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
IAM policy |
指定的委托人必须位于本地账户中,但操作将返回所有账户中的授权。 |
|
无 |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: |
要使用此操作,调用方需要对以下两个 KMS 密钥具有权限:
|
密钥策略 |
是 |
KMS 密钥 |
加密操作的条件 加密上下文条件: KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: |
要使用此操作,调用方需要具有以下权限:
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: |
撤销授予的权限主要由授予决定。单独的策略无法允许访问此操作。有关更多信息,请参阅 停用和撤销授权。 |
IAM policy (此权限在密钥策略中无效。) |
是 |
KMS 密钥 |
加密上下文条件: 授予条件: KMS 密钥操作的条件: |
|
密钥策略 |
是 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件: |
|
密钥策略 |
否 |
KMS 密钥(仅限对称) |
KMS 密钥操作的条件: |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
密钥策略 |
是 |
KMS 密钥(仅限非对称) |
签名和验证条件: kms: RequestAliasKMS 密钥操作的条件: |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 标记条件: a@@ ws:RequestTag/tag-key(AWS 全局条件密钥) a@@ ws: TagKeys(AWS 全局条件密钥) |
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 标记条件: a@@ ws:RequestTag/tag-key(AWS 全局条件密钥) a@@ ws: TagKeys(AWS 全局条件密钥) |
要使用此操作,调用方需要对以下三个资源具有
有关更多信息,请参阅 控制对别名的访问。 |
IAM policy(适用于别名) |
否 |
别名 |
无(控制对别名的访问时) |
密钥策略(适用于 KMS 密钥) |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
|
UpdateCustomKeyStore
|
IAM policy | 否 |
|
|
|
密钥策略 |
否 |
KMS 密钥 |
KMS 密钥操作的条件: |
要使用此操作,调用方需要对将成为副本密钥的多区域主键和将成为主键的多区域副本密钥同时具有 |
密钥策略 |
否 | KMS 密钥 |
KMS 密钥操作的条件: a@@ ws:ResourceTag/tag-key(AWS 全局条件密钥) 其他条件 |
|
密钥策略 |
是 | KMS 密钥(仅限非对称) |
签名和验证条件: kms: RequestAliasKMS 密钥操作的条件: |
VerifyMac
|
密钥策略 | 是 | KMS 密钥 | KMS 密钥操作的条件: 加密操作的条件: |
列描述
此表中的各列提供以下信息:
-
操作和权限列出了每个 AWS KMS API 操作以及允许该操作的权限。您可以在策略语句的
Action
元素中指定操作。 -
策略类型指示权限是否可在密钥策略或 IAM policy 中使用。
密钥策略意味着您可以在密钥策略中指定权限。当密钥政策包含启用 IAM policy 的策略语句时,您可以在 IAM policy 中指定权限。
IAM policy 意味着您只能在 IAM policy 中指定权限。
-
跨账户使用显示了授权用户可以对其他 AWS 账户中的资源执行的操作。
值 Yes(是)表示委托人可以对其他 AWS 账户中的资源执行操作。
值 No(否)表示委托人只能对其自己的 AWS 账户中的资源执行操作。
如果您为不同账户中的委托人授予一个不能在跨账户资源上使用的权限,则该权限将无效。例如,如果您向其他账户中的委托人授予对您账户中 K MS 密钥的TagResource权限,则他们尝试在您的账户中标记 KMS 密钥将失败。
-
资源列出了权限适用的 AWS KMS 资源。 AWS KMS 支持两种资源类型:KMS 密钥和别名。在密钥策略中,
Resource
元素的值始终为*
,这表示密钥策略附加到的 KMS 密钥。使用以下值表示 IAM 策略中的 AWS KMS 资源。
- KMS 密钥
-
当资源是 KMS 密钥时,请使用其密钥 ARN。有关帮助信息,请参阅 查找密钥 ID 和密钥 ARN。
arn:
AWS_partition_name
:kms:AWS_Region
:AWS_account_ID
:key/key_ID
例如:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- 别名
-
当资源是别名时,请使用其别名 ARN。有关帮助信息,请参阅 查找别名和别名 ARN。
arn:
AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:alias/alias_name
例如:
arn: aws: kms: us-west-2:111122223333: alias/ ExampleAlias
*
(星号)-
当权限不适用于特定资源(KMS 密钥或别名)时,请使用星号 (
*
)。在 IAM AWS KMS 权限策略中,
Resource
元素中的星号表示所有 AWS KMS 资源(KMS 密钥和别名)。当 AWS KMS 权限不适用于任何特定的 KMS 密钥或别名时,您也可以在Resource
元素中使用星号。例如,当允许或拒绝kms:CreateKey
或kms:ListKeys
权限时,您可以将Resource
元素设置为*
,也可以设置为账户特定的变体,例如arn:
。AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:*
-
AWS KMS 条件键列出了可用于控制对操作的访问的 AWS KMS 条件键。您可以在策略的
Condition
元素中指定条件。有关更多信息,请参阅 AWS KMS 条件键。此列还包括所有服务都支持但并非所有 AWS 服务都支持的AWSAWS KMS全局条件键。