AWS KMS Berechtigungen

Diese Tabelle soll Ihnen helfen, die AWS KMS Berechtigungen zu verstehen, sodass Sie den Zugriff auf Ihre AWS KMS Ressourcen kontrollieren können. Definitionen der Spaltenüberschriften werden unter der Tabelle angezeigt.

Informationen zu AWS KMS Berechtigungen finden Sie auch in den Abschnitten Aktionen, Ressourcen und Bedingungsschlüssel zum AWS Key Management Service Thema Service Authorization Reference. In diesem Thema werden jedoch nicht alle Bedingungsschlüssel aufgeführt, die Sie zum Verfeinern jeder Berechtigung verwenden können.

Weitere Informationen darüber, welche AWS KMS Operationen für symmetrische KMS Verschlüsselungsschlüssel, asymmetrische Schlüssel und KMS HMAC KMS Schlüssel gültig sind, finden Sie unter. Schlüsseltypreferenz

Anmerkung

Möglicherweise müssen Sie horizontal oder vertikal scrollen, um alle Daten in der Tabelle anzuzeigen.

Aktionen und Berechtigungen	Richtlinientyp	Kontoübergreifende Verwendung	Ressourcen (für IAM-Richtlinien)	AWS KMS Bedingungsschlüssel
CancelKeyDeletion `kms:CancelKeyDeletion`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAMPolitik	Nein	`*`	km: CallerAccount
CreateAlias `kms:CreateAlias` Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung `kms:CreateAlias` für zwei Ressourcen: Der Alias (in einer IAM Richtlinie) Der KMS Schlüssel (in einer wichtigen Richtlinie) Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.	IAM-Richtlinie (für den Alias)	Nein	Alias	Keine (bei der Steuerung des Zugriffs auf den Alias)
	Schlüsselrichtlinie (für den KMS Schlüssel)	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAMPolitik	Nein	`*`	km: CallerAccount
CreateGrant `kms:CreateGrant`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für Erteilungen: km: GrantConstraintType km: GranteePrincipal km: GrantIsFor AWSResource km: GrantOperations km: RetiringPrincipal Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
CreateKey `kms:CreateKey`	IAMPolitik	Nein	`*`	km: BypassPolicyLockoutSafetyCheck km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ViaService aws:RequestTag/tag-key (AWS globaler Bedingungsschlüssel) aws:ResourceTag/tag-key (globaler Bedingungsschlüssel)AWS aws: TagKeys (AWS globaler Bedingungsschlüssel)
Decrypt `kms:Decrypt`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für kryptografische Operationen km: EncryptionAlgorithm km: RequestAlias Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
DeleteAlias `kms:DeleteAlias` Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung `kms:DeleteAlias` für zwei Ressourcen: Der Alias (in einer IAM Richtlinie) Der KMS Schlüssel (in einer wichtigen Richtlinie) Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.	IAM-Richtlinie (für den Alias)	Nein	Alias	Keine (bei der Steuerung des Zugriffs auf den Alias)
	Schlüsselrichtlinie (für den KMS Schlüssel)	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAMPolitik	Nein	`*`	km: CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
DedriveSharedSecret `kms:DeriveSharedSecret`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Bedingungen für kryptografische Operationen km: KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAMPolitik	Nein	`*`	km: CallerAccount
DescribeKey `kms:DescribeKey`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: RequestAlias
DisableKey `kms:DisableKey`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAMPolitik	Nein	`*`	km: CallerAccount
EnableKey `kms:EnableKey`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Bedingungen für die automatische Schlüsselrotation: km: RotationPeriodInDays
Encrypt `kms:Encrypt`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für kryptografische Operationen km: EncryptionAlgorithm km: RequestAlias Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GenerateDataKey `kms:GenerateDataKey`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für kryptografische Operationen km: EncryptionAlgorithm km: RequestAlias Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Schlüsselrichtlinie	Ja	KMSSchlüssel Generiert ein asymmetrisches Datenschlüsselpaar, das durch einen symmetrischen KMS Verschlüsselungsschlüssel geschützt ist.	Bedingungen für Datenschlüsselpaare: km: DataKeyPairSpec Bedingungen für kryptografische Operationen km: EncryptionAlgorithm km: RequestAlias Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Schlüsselrichtlinie	Ja	KMSSchlüssel Generiert ein asymmetrisches Datenschlüsselpaar, das durch einen symmetrischen KMS Verschlüsselungsschlüssel geschützt ist.	Bedingungen für Datenschlüsselpaare: km: DataKeyPairSpec Bedingungen für kryptografische Operationen km: EncryptionAlgorithm km: RequestAlias Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für kryptografische Operationen km: EncryptionAlgorithm km: RequestAlias Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GenerateMac `kms:GenerateMac`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Bedingungen für kryptografische Operationen km: MacAlgorithm km: RequestAlias
GenerateRandom `kms:GenerateRandom`	IAMPolitik	N/A	`*`	None
GetKeyPolicy `kms:GetKeyPolicy`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GetParametersForImport `kms:GetParametersForImport`	Schlüsselrichtlinie	Nein	KMSSchlüssel	km: WrappingAlgorithm km: WrappingKeySpec Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
GetPublicKey `kms:GetPublicKey`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: ExpirationModel km: ValidTo
ListAliases `kms:ListAliases`	IAMPolitik	Nein	`*`	None
ListGrants `kms:ListGrants`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
ListKeyRotations `kms:ListKeyRotations`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
ListKeys `kms:ListKeys`	IAMPolitik	Nein	`*`	None
ListResourceTags `kms:ListResourceTags`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAMPolitik	Der angegebene Prinzipal muss sich im lokalen Konto befinden, aber die Produktion gibt Erteilungen in allen Konten zurück.	`*`	None
PutKeyPolicy `kms:PutKeyPolicy`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Um diesen Vorgang verwenden zu können, benötigt der Anrufer die Erlaubnis für zwei KMS Tasten: `kms:ReEncryptFrom`auf dem KMS Schlüssel, der zum Entschlüsseln verwendet wurde `kms:ReEncryptTo`auf dem KMS Schlüssel, der zum Verschlüsseln verwendet wurde	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für kryptografische Operationen km: EncryptionAlgorithm km: RequestAlias Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Um diese Produktion verwenden zu können, benötigt der Anrufer die folgenden Berechtigungen: `kms:ReplicateKey` auf dem multiregionalen Primärschlüssel `kms:CreateKey`in einer IAM Richtlinie in der Replikat-Region	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: ReplicaRegion
RetireGrant `kms:RetireGrant` Die Berechtigung zur Außerbetriebnahme einer Erteilung wird hauptsächlich durch die Erteilung bestimmt. Eine Richtlinie allein kann den Zugriff auf diese Produktion nicht erlauben. Weitere Informationen finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.	IAMPolitik (Diese Berechtigung ist in einer Schlüsselrichtlinie nicht wirksam.)	Ja	KMSSchlüssel	Bedingungen für den Verschlüsselungskontext: kms:EncryptionContext: Kontextschlüssel km: EncryptionContextKeys Bedingungen für Erteilungen: km: GrantConstraintType Bedingungen für KMS wichtige Operationen: km: CallerAccount km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
RevokeGrant `kms:RevokeGrant`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen: km: GrantIsFor AWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
Sign `kms:Sign`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für Signatur und Verifizierung: km: MessageType km: RequestAlias km: SigningAlgorithm Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
TagResource `kms:TagResource`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Bedingungen für Markierung: aws:RequestTag/tag-key (AWS globaler Bedingungsschlüssel) aws: TagKeys (AWS globaler Bedingungsschlüssel)
UntagResource `kms:UntagResource`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Bedingungen für Markierung: aws:RequestTag/tag-key (AWS globaler Bedingungsschlüssel) aws: TagKeys (AWS globaler Bedingungsschlüssel)
UpdateAlias `kms:UpdateAlias` Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung `kms:UpdateAlias` für drei Ressourcen: Alias Der aktuell zugeordnete KMS Schlüssel Der neu zugeordnete KMS Schlüssel Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.	IAM-Richtlinie (für den Alias)	Nein	Alias	Keine (bei der Steuerung des Zugriffs auf den Alias)
	Schlüsselrichtlinie (für die KMS Schlüssel)	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAMPolitik	Nein	`*`	km: CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Um diese Produktion verwenden zu können, benötigt der Aufrufer die `kms:UpdatePrimaryRegion`-Berechtigung sowohl für den multiregionalen Primärschlüssel, der zu einem Replikatschlüssel wird, und den multiregionalen Replikatschlüssel, der zum Primärschlüssel wird.	Schlüsselrichtlinie	Nein	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Andere Bedingungen km: PrimaryRegion
Verify `kms:Verify`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für Signatur und Verifizierung: km: MessageType km: RequestAlias km: SigningAlgorithm Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService
VerifyMac `kms:VerifyMac`	Schlüsselrichtlinie	Ja	KMSSchlüssel	Bedingungen für KMS wichtige Operationen: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel) km: ViaService Bedingungen für kryptografische Operationen km: MacAlgorithm km: RequestAlias

Beschreibungen der Spalten

Die Spalten in dieser Tabelle enthalten folgende Informationen:

Unter Aktionen und Berechtigungen werden alle AWS KMS API Operationen und die Berechtigungen aufgeführt, die den Vorgang zulassen. Sie geben die Produktion im Action-Element einer Richtlinienanweisung an.
Der Richtlinientyp gibt an, ob die Berechtigung in einer wichtigen Richtlinie oder IAM Richtlinie verwendet werden kann.

Key policy (Schlüsselrichtlinie) bedeutet, dass Sie die Berechtigung in der Schlüsselrichtlinie angeben können. Wenn die Schlüsselrichtlinie die Richtlinienerklärung enthält, die IAM Richtlinien aktiviert, können Sie die Berechtigung in einer IAM Richtlinie angeben.

IAMRichtlinie bedeutet, dass Sie die Berechtigung nur in einer IAM Richtlinie angeben können.
Kontenübergreifende Verwendung zeigt die Operationen an, die autorisierte Benutzer für Ressourcen in einem anderen AWS-Konto ausführen können.

Ein Wert von Ja bedeutet, dass Prinzipale die Produktion für Ressourcen in einem anderen AWS-Konto ausführen können.

Ein Wert von No (Nein) bedeutet, dass Prinzipale die Produktion nur auf Ressourcen in ihrem eigenen AWS-Konto ausführen können.

Wenn Sie einem Prinzipal in einem anderen Konto eine Berechtigung erteilen, die nicht für eine kontoübergreifende Ressource verwendet werden kann, ist die Berechtigung nicht wirksam. Wenn Sie beispielsweise einem Prinzipal in einem anderen Konto die TagResource Erlaubnis kms: für einen KMS Schlüssel in Ihrem Konto erteilen, schlagen seine Versuche fehl, den KMS Schlüssel in Ihrem Konto zu kennzeichnen.
Resources listet die AWS KMS Ressourcen auf, für die die Berechtigungen gelten. AWS KMS unterstützt zwei Ressourcentypen: einen KMS Schlüssel und einen Alias. In einer Schlüsselrichtlinie ist der Wert des Resource Elements immer*, was den KMS Schlüssel angibt, an den die Schlüsselrichtlinie angehängt ist.

Verwenden Sie die folgenden Werte, um eine AWS KMS Ressource in einer IAM Richtlinie darzustellen.

KMSSchlüssel

Wenn es sich bei der Ressource um einen KMS Schlüssel handelt, verwenden Sie seinen Schlüssel ARN. Weitere Informationen dazu finden Sie unter Finden Sie die Schlüssel-ID und den Schlüssel ARN.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Beispielsweise:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Wenn die Ressource ein Alias ist, verwenden Sie ihren Alias ARN. Weitere Informationen dazu finden Sie unter Suchen Sie den Aliasnamen und den Alias ARN für einen KMS Schlüssel.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Beispielsweise:

arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

* (Sternchen)

Wenn die Berechtigung nicht für eine bestimmte Ressource (Schlüssel oder Alias) gilt, verwenden Sie ein Sternchen (). KMS *

In einer IAM Richtlinie für eine AWS KMS Berechtigung steht ein Sternchen im Resource Element für alle AWS KMS Ressourcen (KMSSchlüssel und Aliase). Sie können auch ein Sternchen im Resource Element verwenden, wenn die AWS KMS Berechtigung nicht für bestimmte KMS Schlüssel oder Aliase gilt. Wenn Sie beispielsweise eine kms:ListKeys Erlaubnis zulassen kms:CreateKey oder verweigern, müssen Sie das Resource Element auf setzen. *
AWS KMS Bedingungstasten listet die AWS KMS Bedingungsschlüssel auf, mit denen Sie den Zugriff auf den Vorgang steuern können. Sie geben Bedingungen im Condition-Element einer Richtlinie an. Weitere Informationen finden Sie unter AWS KMS Bedingungsschlüssel. Diese Spalte enthält auch AWS globale Bedingungsschlüssel, die von AWS KMS, aber nicht von allen AWS Diensten unterstützt werden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Referenz zu wichtigen Spezifikationen

AWS KMS interne Operationen