AWS KMS permisos

Esta tabla está diseñada para ayudarle a entender AWS KMS los permisos para que pueda controlar el acceso a sus AWS KMS recursos. Las definiciones de los títulos de las columnas aparecen bajo la tabla.

También puede obtener información sobre AWS KMS los permisos en las claves de acciones, recursos y condición del AWS Key Management Service tema de la Referencia de autorización de servicios. Sin embargo, ese tema no enumera todas las claves de condición que puede utilizar para limitar cada permiso.

Para obtener más información sobre qué AWS KMS operaciones son válidas para las claves de cifrado simétricas, KMS las claves asimétricas y KMS las HMAC KMS claves, consulte la. Referencia de tipos de claves

nota

Es posible que tenga que desplazarse en forma horizontal o vertical para ver todos los datos de la tabla.

Acciones y permisos	Tipo de política	Uso entre cuentas	Recursos (para IAM políticas)	AWS KMS claves de condición
CancelKeyDeletion `kms:CancelKeyDeletion`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAMpolítica	No	`*`	km: CallerAccount
CreateAlias `kms:CreateAlias` Para utilizar esta operación, el intermediario necesita permiso `kms:CreateAlias` en dos recursos: El alias (en una IAM política) La KMS clave (en una política clave) Para obtener más información, consulte Control del acceso a alias.	Política de IAM (para el alias)	No	Alias	Ninguno (cuando se controla el acceso al alias)
	Política clave (para la KMS clave)	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAMpolítica	No	`*`	km: CallerAccount
CreateGrant `kms:CreateGrant`	Política de claves	Sí	KMSclave	Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones de concesión: km: GrantConstraintType km: GranteePrincipal km: GrantIsFor AWSResource km: GrantOperations km: RetiringPrincipal Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
CreateKey `kms:CreateKey`	IAMpolítica	No	`*`	km: BypassPolicyLockoutSafetyCheck km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ViaService aws:RequestTag/tag-key (clave de condición AWS global) aws:ResourceTag/tag-key (clave de condición global)AWS aws: TagKeys (clave de condición AWS global)
Decrypt `kms:Decrypt`	Política de claves	Sí	KMSclave	Condiciones para operaciones criptográficas km: EncryptionAlgorithm km: RequestAlias Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
DeleteAlias `kms:DeleteAlias` Para utilizar esta operación, el intermediario necesita permiso `kms:DeleteAlias` en dos recursos: El alias (en una IAM política) La KMS clave (en una política clave) Para obtener más información, consulte Control del acceso a alias.	Política de IAM (para el alias)	No	Alias	Ninguno (cuando se controla el acceso al alias)
	Política clave (para la KMS clave)	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAMpolítica	No	`*`	km: CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
DedriveSharedSecret `kms:DeriveSharedSecret`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Condiciones para operaciones criptográficas: km: KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAMpolítica	No	`*`	km: CallerAccount
DescribeKey `kms:DescribeKey`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: RequestAlias
DisableKey `kms:DisableKey`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAMpolítica	No	`*`	km: CallerAccount
EnableKey `kms:EnableKey`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Condiciones de rotación automática de claves: km: RotationPeriodInDays
Encrypt `kms:Encrypt`	Política de claves	Sí	KMSclave	Condiciones para operaciones criptográficas km: EncryptionAlgorithm km: RequestAlias Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GenerateDataKey `kms:GenerateDataKey`	Política de claves	Sí	KMSclave	Condiciones para operaciones criptográficas km: EncryptionAlgorithm km: RequestAlias Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Política de claves	Sí	KMSclave Genera un par de claves de datos asimétricas que está protegido por una clave de cifrado KMS simétrica.	Condiciones para pares de claves de datos: kms: DataKeyPairSpec Condiciones para operaciones criptográficas km: EncryptionAlgorithm km: RequestAlias Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Política de claves	Sí	KMSclave Genera un par de claves de datos asimétricas que está protegido por una clave de cifrado KMS simétrica.	Condiciones para pares de claves de datos: kms: DataKeyPairSpec Condiciones para operaciones criptográficas km: EncryptionAlgorithm km: RequestAlias Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Política de claves	Sí	KMSclave	Condiciones para operaciones criptográficas km: EncryptionAlgorithm km: RequestAlias Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GenerateMac `kms:GenerateMac`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Condiciones para operaciones criptográficas: km: MacAlgorithm km: RequestAlias
GenerateRandom `kms:GenerateRandom`	IAMpolítica	N/A	`*`	Ninguna
GetKeyPolicy `kms:GetKeyPolicy`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GetParametersForImport `kms:GetParametersForImport`	Política de claves	No	KMSclave	km: WrappingAlgorithm km: WrappingKeySpec Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
GetPublicKey `kms:GetPublicKey`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: ExpirationModel km: ValidTo
ListAliases `kms:ListAliases`	IAMpolítica	No	`*`	Ninguna
ListGrants `kms:ListGrants`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
ListKeyRotations `kms:ListKeyRotations`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
ListKeys `kms:ListKeys`	IAMpolítica	No	`*`	Ninguna
ListResourceTags `kms:ListResourceTags`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAMpolítica	La principal entidad especificada debe estar en la cuenta local, pero la operación devuelve concesiones en todas las cuentas.	`*`	Ninguna
PutKeyPolicy `kms:PutKeyPolicy`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Para utilizar esta operación, la persona que llama necesita permiso para utilizar dos KMS teclas: `kms:ReEncryptFrom`en la KMS clave utilizada para descifrar `kms:ReEncryptTo`en la KMS clave utilizada para cifrar	Política de claves	Sí	KMSclave	Condiciones para operaciones criptográficas km: EncryptionAlgorithm km: RequestAlias Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Para utilizar esta operación, la persona que llama necesita estos permisos: `kms:ReplicateKey` en la clave principal de varias regiones `kms:CreateKey`en una IAM política de la región réplica	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: ReplicaRegion
RetireGrant `kms:RetireGrant` El permiso para retirar una concesión se determina principalmente por la concesión. Una política por sí sola no puede permitir el acceso a esta operación. Para obtener más información, consulte Retiro y revocación de concesiones.	IAMpolítica (Este permiso no es efectivo en una política de clave.)	Sí	KMSclave	Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto kms: EncryptionContextKeys Condiciones de concesión: km: GrantConstraintType Condiciones para las operaciones KMS clave: km: CallerAccount km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
RevokeGrant `kms:RevokeGrant`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones: km: GrantIsFor AWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
Sign `kms:Sign`	Política de claves	Sí	KMSclave	Condiciones para la firma y la verificación: km: MessageType km: RequestAlias km: SigningAlgorithm Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
TagResource `kms:TagResource`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Condiciones para el etiquetado: aws:RequestTag/tag-key (clave de condición AWS global) aws: TagKeys (clave de condición AWS global)
UntagResource `kms:UntagResource`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Condiciones para el etiquetado: aws:RequestTag/tag-key (clave de condición AWS global) aws: TagKeys (clave de condición AWS global)
UpdateAlias `kms:UpdateAlias` Para utilizar esta operación, el intermediario necesita permiso `kms:UpdateAlias` en tres recursos: El alias La KMS clave asociada actualmente La KMS clave recién asociada Para obtener más información, consulte Control del acceso a alias.	Política de IAM (para el alias)	No	Alias	Ninguno (cuando se controla el acceso al alias)
	Política de claves (para las KMS claves)	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAMpolítica	No	`*`	km: CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Para utilizar esta operación, la persona que llama necesita permiso `kms:UpdatePrimaryRegion` tanto en la clave principal de varias regiones que se convertirá en una clave de réplica como en la clave de réplica de varias regiones que se convertirá en la clave principal.	Política de claves	No	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Otras condiciones km: PrimaryRegion
Verificar `kms:Verify`	Política de claves	Sí	KMSclave	Condiciones para la firma y la verificación: km: MessageType km: RequestAlias km: SigningAlgorithm Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService
VerifyMac `kms:VerifyMac`	Política de claves	Sí	KMSclave	Condiciones para las operaciones KMS clave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (clave de condición AWS global) kms: ViaService Condiciones para operaciones criptográficas: km: MacAlgorithm km: RequestAlias

Descripciones de las columnas

Las columnas de esta tabla proporcionan la siguiente información:

Acciones y permisos muestra cada AWS KMS API operación y el permiso que permite la operación. Especifique la operación en el elemento Action de una declaración de política.
El tipo de política indica si el permiso se puede usar en una política o IAM política clave.

Política de claves significa que puede especificar el permiso en la política de claves. Cuando la política clave contiene la declaración de política que habilita IAM las políticas, puede especificar el permiso en una IAM política.

IAMpolítica significa que solo puede especificar el permiso en una IAM política.
Uso entre cuentas muestra las operaciones que los usuarios autorizados pueden realizar en recursos de una Cuenta de AWS diferente.

Un valor de Yes (Sí) significa que las entidades principales pueden realizar la operación en los recursos en una Cuenta de AWS diferente.

Un valor de No significa que las principales entidades pueden realizar la operación solo en recursos en sus propios Cuenta de AWS.

Si otorga a una entidad principal de una cuenta diferente un permiso que no se puede utilizar en un recurso entre cuentas, el permiso no será efectivo. Por ejemplo, si le das TagResource permiso a un director de una cuenta diferente para usar una KMS clave de tu cuenta, sus intentos de etiquetar la KMS clave de tu cuenta fallarán.
Recursos muestra los AWS KMS recursos a los que se aplican los permisos. AWS KMS admite dos tipos de recursos: una KMS clave y un alias. En una política clave, el valor del Resource elemento es siempre*, lo que indica la KMS clave a la que está asociada la política clave.

Utilice los siguientes valores para representar un AWS KMS recurso en una IAM política.

KMSclave

Cuando el recurso sea una KMS clave, utilice su clave ARN. Para obtener ayuda, consulte Encontrar el ID de clave y el ARN de clave.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Por ejemplo:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Cuando el recurso sea un alias, utilice su alias ARN. Para obtener ayuda, consulte Busque el nombre del alias y el alias ARN de una KMS clave.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Por ejemplo:

arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

* (asterisco)

Si el permiso no se aplica a un recurso concreto (clave o alias), usa un asterisco (). KMS *

En una IAM política de AWS KMS permisos, un asterisco en el Resource elemento indica todos los AWS KMS recursos (KMSclaves y alias). También puedes usar un asterisco en el Resource elemento cuando el AWS KMS permiso no se aplique a ninguna KMS clave o alias en particular. Por ejemplo, al permitir kms:CreateKey o denegar un kms:ListKeys permiso, debes establecer el Resource elemento en. *
AWS KMS las claves de AWS KMS condición enumeran las claves de condición que puede utilizar para controlar el acceso a la operación. Las condiciones se especifican en un elemento Condition de la política. Para obtener más información, consulte AWS KMS claves de condición. Esta columna también incluye las claves de condición AWS globales que son compatibles con todos los AWS servicios AWS KMS, pero no con todos ellos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de especificaciones de clave

Operaciones internas de AWS KMS