Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

AWS KMS Berechtigungen

PDF
RSS
Fokusmodus
AWS KMS Berechtigungen - AWS Key Management Service
Beschreibungen der Spalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Diese Tabelle soll Ihnen helfen, die AWS KMS Berechtigungen zu verstehen, sodass Sie den Zugriff auf Ihre AWS KMS Ressourcen kontrollieren können. Definitionen der Spaltenüberschriften werden unter der Tabelle angezeigt.

Informationen zu AWS KMS Berechtigungen finden Sie auch in den Abschnitten Aktionen, Ressourcen und Bedingungsschlüssel zum AWS Key Management Service Thema Service Authorization Reference. In diesem Thema werden jedoch nicht alle Bedingungsschlüssel aufgeführt, die Sie zum Verfeinern jeder Berechtigung verwenden können.

Weitere Informationen darüber, welche AWS KMS Operationen für KMS-Schlüssel mit symmetrischer Verschlüsselung, asymmetrische KMS-Schlüssel und HMAC-KMS-Schlüssel gültig sind, finden Sie unter. Schlüsseltypreferenz

Anmerkung

Möglicherweise müssen Sie horizontal oder vertikal scrollen, um alle Daten in der Tabelle anzuzeigen.

Aktionen und Berechtigungen Richtlinientyp Kontoübergreifende Verwendung Ressourcen (für IAM-Richtlinien) AWS KMS Bedingungsschlüssel

CancelKeyDeletion

kms:CancelKeyDeletion

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
ConnectCustomKeyStore

kms:ConnectCustomKeyStore

 IAM-Richtlinie Nein

*

km: CallerAccount

CreateAlias

kms:CreateAlias

Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung kms:CreateAlias für zwei Ressourcen:

  • Alias (in einer IAM-Richtlinie)

  • Der KMS-Schlüssel (in einer Schlüsselrichtlinie)

Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.

IAM-Richtlinie (für den Alias)

 Nein

Alias

 Keine (bei der Steuerung des Zugriffs auf den Alias)

Schlüsselrichtlinie (für den KMS-Schlüssel)

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
CreateCustomKeyStore

kms:CreateCustomKeyStore

 IAM-Richtlinie Nein

*

km: CallerAccount

CreateGrant

kms:CreateGrant

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für Erteilungen:

km: GrantConstraintType

km: GranteePrincipal

km: GrantIsFor AWSResource

km: GrantOperations

km: RetiringPrincipal

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

CreateKey

kms:CreateKey

IAM-Richtlinie

 Nein

*

km: BypassPolicyLockoutSafetyCheck

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ViaService

aws:RequestTag/tag-key (AWS globaler Bedingungsschlüssel)

aws:ResourceTag/tag-key (globaler Bedingungsschlüssel)AWS

aws: TagKeys (AWS globaler Bedingungsschlüssel)

Decrypt

kms:Decrypt

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für kryptografische Operationen

km: EncryptionAlgorithm

km: RequestAlias

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

DeleteAlias

kms:DeleteAlias

Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung kms:DeleteAlias für zwei Ressourcen:

  • Alias (in einer IAM-Richtlinie)

  • Der KMS-Schlüssel (in einer Schlüsselrichtlinie)

Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.

IAM-Richtlinie (für den Alias)

 Nein

Alias

 Keine (bei der Steuerung des Zugriffs auf den Alias)

Schlüsselrichtlinie (für den KMS-Schlüssel)

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
DeleteCustomKeyStore

kms:DeleteCustomKeyStore

 IAM-Richtlinie Nein

*

km: CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
DeriveSharedSecret

kms:DeriveSharedSecret

 Schlüsselrichtlinie Ja KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Bedingungen für kryptografische Operationen

km: KeyAgreementAlgorithm
DescribeCustomKeyStores

kms:DescribeCustomKeyStores

 IAM-Richtlinie Nein

*

km: CallerAccount

DescribeKey

kms:DescribeKey

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: RequestAlias

DisableKey

kms:DisableKey

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

DisableKeyRotation

kms:DisableKeyRotation

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

 IAM-Richtlinie Nein

*

km: CallerAccount

EnableKey

kms:EnableKey

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

EnableKeyRotation

kms:EnableKeyRotation

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Bedingungen für die automatische Schlüsselrotation:

km: RotationPeriodInDays

Encrypt

kms:Encrypt

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für kryptografische Operationen

km: EncryptionAlgorithm

km: RequestAlias

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

GenerateDataKey

kms:GenerateDataKey

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für kryptografische Operationen

km: EncryptionAlgorithm

km: RequestAlias

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Generierung eines asymmetrischen Datenschlüsselpaars, das durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung geschützt ist.

Bedingungen für Datenschlüsselpaare:

km: DataKeyPairSpec

Bedingungen für kryptografische Operationen

km: EncryptionAlgorithm

km: RequestAlias

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Generierung eines asymmetrischen Datenschlüsselpaars, das durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung geschützt ist.

Bedingungen für Datenschlüsselpaare:

km: DataKeyPairSpec

Bedingungen für kryptografische Operationen

km: EncryptionAlgorithm

km: RequestAlias

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für kryptografische Operationen

km: EncryptionAlgorithm

km: RequestAlias

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
GenerateMac

kms:GenerateMac

 Schlüsselrichtlinie Ja KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Bedingungen für kryptografische Operationen

km: MacAlgorithm

km: RequestAlias

GenerateRandom

kms:GenerateRandom

IAM-Richtlinie

 N/A

*

 Keine

GetKeyPolicy

kms:GetKeyPolicy

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

GetParametersForImport

kms:GetParametersForImport

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

km: WrappingAlgorithm

km: WrappingKeySpec

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

GetPublicKey

kms:GetPublicKey

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: ExpirationModel

km: ValidTo

ListAliases

kms:ListAliases

IAM-Richtlinie

 Nein

*

 Keine

ListGrants

kms:ListGrants

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: GrantIsFor AWSResource

ListKeyPolicies

kms:ListKeyPolicies

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

ListKeyRotations

kms:ListKeyRotations

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

ListKeys

kms:ListKeys

IAM-Richtlinie

 Nein

*

 Keine

ListResourceTags

kms:ListResourceTags

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM-Richtlinie

 Der angegebene Prinzipal muss sich im lokalen Konto befinden, aber die Produktion gibt Erteilungen in allen Konten zurück.

*

 Keine

PutKeyPolicy

kms:PutKeyPolicy

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

Um diese Produktion verwenden zu können, benötigt der Anrufer die Berechtigung für zwei KMS-Schlüssel:

  • kms:ReEncryptFrom auf dem KMS-Schlüssel zum Entschlüsseln

  • kms:ReEncryptTo auf dem KMS-Schlüssel zum Verschlüsseln

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für kryptografische Operationen

km: EncryptionAlgorithm

km: RequestAlias

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

Um diese Produktion verwenden zu können, benötigt der Anrufer die folgenden Berechtigungen:

  • kms:ReplicateKey auf dem multiregionalen Primärschlüssel

  • kms:CreateKey in einer IAM-Richtlinie in der Replikatregion

Schlüsselrichtlinie

Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: ReplicaRegion

RetireGrant

kms:RetireGrant

Die Berechtigung zur Außerbetriebnahme einer Erteilung wird hauptsächlich durch die Erteilung bestimmt. Eine Richtlinie allein kann den Zugriff auf diese Produktion nicht erlauben. Weitere Informationen finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.

IAM-Richtlinie

(Diese Berechtigung ist in einer Schlüsselrichtlinie nicht wirksam.)

 Ja

KMS-Schlüssel

Bedingungen für den Verschlüsselungskontext:

kms:EncryptionContext: Kontextschlüssel

km: EncryptionContextKeys

Bedingungen für Erteilungen:

km: GrantConstraintType

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

RevokeGrant

kms:RevokeGrant

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen:

km: GrantIsFor AWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Sign

kms:Sign

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für Signatur und Verifizierung:

km: MessageType

km: RequestAlias

km: SigningAlgorithm

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

TagResource

kms:TagResource

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Bedingungen für Markierung:

aws:RequestTag/tag-key (AWS globaler Bedingungsschlüssel)

aws: TagKeys (AWS globaler Bedingungsschlüssel)

UntagResource

kms:UntagResource

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Bedingungen für Markierung:

aws:RequestTag/tag-key (AWS globaler Bedingungsschlüssel)

aws: TagKeys (AWS globaler Bedingungsschlüssel)

UpdateAlias

kms:UpdateAlias

Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung kms:UpdateAlias für drei Ressourcen:

  • Alias

  • Der aktuell zugeordnete KMS-Schlüssel

  • Der neu zugeordnete KMS-Schlüssel

Details hierzu finden Sie unter Steuern des Zugriffs auf Aliasse.

IAM-Richtlinie (für den Alias)

 Nein

Alias

 Keine (bei der Steuerung des Zugriffs auf den Alias)

Schlüsselrichtlinie (für die KMS-Schlüssel)

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
UpdateCustomKeyStore

kms:UpdateCustomKeyStore

 IAM-Richtlinie Nein

*

km: CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

Um diese Produktion verwenden zu können, benötigt der Aufrufer die kms:UpdatePrimaryRegion-Berechtigung sowohl für den multiregionalen Primärschlüssel, der zu einem Replikatschlüssel wird, und den multiregionalen Replikatschlüssel, der zum Primärschlüssel wird.

Schlüsselrichtlinie

 Nein

KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Andere Bedingungen

km: PrimaryRegion

Verify

kms:Verify

Schlüsselrichtlinie

 Ja

KMS-Schlüssel

Bedingungen für Signatur und Verifizierung:

km: MessageType

km: RequestAlias

km: SigningAlgorithm

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService
VerifyMac

kms:VerifyMac

 Schlüsselrichtlinie Ja KMS-Schlüssel

Bedingungen für KMS-Schlüssel-Operationen:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (AWS globaler Bedingungsschlüssel)

km: ViaService

Bedingungen für kryptografische Operationen

km: MacAlgorithm

km: RequestAlias

Beschreibungen der Spalten

Die Spalten in dieser Tabelle enthalten folgende Informationen:

  • Unter Aktionen und Berechtigungen werden alle AWS KMS API-Operationen und die Berechtigungen aufgeführt, die den Vorgang zulassen. Sie geben die Produktion im Action-Element einer Richtlinienanweisung an.

  • Policy type (Richtlinientyp) gibt an, ob die Berechtigung in einer Schlüsselrichtlinie oder einer IAM-Richtlinie verwendet werden kann.

    Key policy (Schlüsselrichtlinie) bedeutet, dass Sie die Berechtigung in der Schlüsselrichtlinie angeben können. Wenn die Schlüsselrichtlinie die Richtlinienanweisung zur Aktivierung von IAM-Richtlinien enthält, können Sie die Berechtigung in einer IAM-Richtlinie angeben.

    IAM policy (IAM-Richtlinie) bedeutet, dass Sie die Berechtigung nur in einer IAM-Richtlinie angeben können.

  • Kontenübergreifende Verwendung zeigt die Operationen an, die autorisierte Benutzer für Ressourcen in einem anderen AWS-Konto ausführen können.

    Ein Wert von Ja bedeutet, dass Prinzipale die Produktion für Ressourcen in einem anderen AWS-Konto ausführen können.

    Ein Wert von No (Nein) bedeutet, dass Prinzipale die Produktion nur auf Ressourcen in ihrem eigenen AWS-Konto ausführen können.

    Wenn Sie einem Prinzipal in einem anderen Konto eine Berechtigung erteilen, die nicht für eine kontoübergreifende Ressource verwendet werden kann, ist die Berechtigung nicht wirksam. Wenn Sie beispielsweise einem Prinzipal in einem anderen Konto die TagResource Berechtigung kms: für einen KMS-Schlüssel in Ihrem Konto erteilen, schlagen seine Versuche fehl, den KMS-Schlüssel in Ihrem Konto zu kennzeichnen.

  • Resources listet die AWS KMS Ressourcen auf, für die die Berechtigungen gelten. AWS KMS unterstützt zwei Ressourcentypen: einen KMS-Schlüssel und einen Alias. In einer Schlüsselrichtlinie ist der Wert des Resource-Elements stets *. Dies gibt den KMS-Schlüssel an, dem die Schlüsselrichtlinie angefügt ist.

    Verwenden Sie die folgenden Werte, um eine AWS KMS Ressource in einer IAM-Richtlinie darzustellen.

    KMS-Schlüssel

    Wenn es sich bei der Ressource um einen KMS-Schlüssel handelt, verwenden Sie dessen Schlüssel-ARN. Weitere Informationen dazu finden Sie unter Finden Sie die Schlüssel-ID und den Schlüssel-ARN.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    Zum Beispiel:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Alias

    Wenn es sich bei der Ressource um einen Alias handelt, verwenden Sie den Alias-ARN. Weitere Informationen dazu finden Sie unter Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    Zum Beispiel:

    arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

    * (Sternchen)

    Wenn die Berechtigung nicht für eine bestimmte Ressource (KMS-Schlüssel oder Alias) gilt, verwenden Sie ein Sternchen (*).

    In einer IAM-Richtlinie für eine Berechtigung steht ein Sternchen im Element für alle Ressourcen (KMS-Schlüssel und Aliase). AWS KMS Resource AWS KMS Sie können in dem Resource Element auch ein Sternchen verwenden, wenn die AWS KMS Berechtigung nicht für bestimmte KMS-Schlüssel oder -Aliase gilt. Wenn Sie beispielsweise eine kms:ListKeys Erlaubnis zulassen kms:CreateKey oder verweigern, müssen Sie das Resource Element auf setzen. *

  • AWS KMS Bedingungstasten listet die AWS KMS Bedingungsschlüssel auf, mit denen Sie den Zugriff auf den Vorgang steuern können. Sie geben Bedingungen im Condition-Element einer Richtlinie an. Weitere Informationen finden Sie unter AWS KMS Bedingungsschlüssel. Diese Spalte enthält auch AWS globale Bedingungsschlüssel, die von AWS KMS, aber nicht von allen AWS Diensten unterstützt werden.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.