使用 IAM 政策搭配使用 AWS KMS

您可以使用 IAM 政策以及關鍵政策、授權和 VPC 端點政策來控制對 AWS KMS keys 於您在中 AWS KMS的存取。

注意

若要使用 IAM 政策來控制 KMS 金鑰的存取，KMS 金鑰的金鑰政策必須授予帳戶使用 IAM 政策的許可。特別是，金鑰政策必須包含啟用 IAM 政策的政策陳述式。

本節說明如何使用 IAM 政策來控制 AWS KMS 作業的存取權限。如需 IAM 許可的一般資訊，請參閱《IAM 使用者指南》。

所有 KMS 金鑰都必須有金鑰政策。IAM 政策是選用的。若要使用 IAM 政策來控制 KMS 金鑰的存取，KMS 金鑰的金鑰政策必須授予帳戶使用 IAM 政策的許可。特別是，金鑰政策必須包含啟用 IAM 政策的政策陳述式。

IAM 政策可以控制對任何 AWS KMS 操作的存取。與金鑰政策不同，IAM 政策可以控制對多個 KMS 金鑰的存取，並為多個相關 AWS 服務的作業提供許可。但 IAM 政策對於控制無法由金鑰政策控制的作業存取特別有用 CreateKey，因為它們不涉及任何特定的 KMS 金鑰。

如果您透 AWS KMS 過 Amazon Virtual Private Cloud 端 (Amazon VPC) 端點存取，您也可以在使用該端點時使用 VPC 端點政策來限制對 AWS KMS 資源的存取。例如，使用 VPC 端點時，您可能只允許您中的主體存取您 AWS 帳戶 的客戶受管金鑰。如需詳細資訊，請參閱 控制對 VPC 端點的存取。

如需撰寫及格式化 JSON 政策文件的說明，請參閱《IAM 使用者指南》中的 IAM JSON 政策參考。

主題

• IAM 政策概觀
• IAM 政策的最佳實務
• 在 IAM 政策陳述式中指定 KMS 金鑰
• 使用 AWS KMS 主控台所需的權限
• AWS 進階使用者的受管理原則
• IAM 政策範例