AWS KMS autorisations - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS autorisations

Ce tableau est conçu pour vous aider à comprendre AWS KMS les autorisations afin que vous puissiez contrôler l'accès à vos AWS KMS ressources. Les définitions des en-têtes de colonne apparaissent sous le tableau.

Vous pouvez également en savoir plus sur AWS KMS les autorisations dans la AWS Key Management Service rubrique Actions, ressources et clés de condition de la référence d'autorisation de service. Toutefois, cette rubrique ne répertorie pas toutes les clés de condition que vous pouvez utiliser pour affiner chaque autorisation.

Pour plus d'informations sur les AWS KMS opérations valides pour les clés de chiffrement symétriques, KMS les clés asymétriques et KMS les HMAC KMS clés, consultez le. Référence des types de clés

Note

Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de la table.

Actions et autorisations Type de stratégie Utilisation inter-comptes Ressources (pour les IAM politiques) AWS KMS clés de condition

CancelKeyDeletion

kms:CancelKeyDeletion

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAMpolitique Non

*

km : CallerAccount

CreateAlias

kms:CreateAlias

Pour utiliser cette opération, l'appelant doit avoir l'autorisation kms:CreateAlias sur deux ressources :

  • L'alias (dans une IAM politique)

  • La KMS clé (dans une politique clé)

Pour plus de détails, consultez Contrôle de l'accès aux alias.

Stratégie IAM (pour l'alias)

Non

Alias

Aucune (lorsque vous contrôlez l'accès à l'alias)

Politique clé (pour la KMS clé)

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAMpolitique Non

*

km : CallerAccount

CreateGrant

kms:CreateGrant

Stratégie de clé

Oui

KMSclé

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions d'octroi :

km : GrantConstraintType

km : GranteePrincipal

km : GrantIsFor AWSResource

km : GrantOperations

km : RetiringPrincipal

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

CreateKey

kms:CreateKey

IAMpolitique

Non

*

km : BypassPolicyLockoutSafetyCheck

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ViaService

aws :RequestTag/tag-key (clé de condition AWS globale)

aws :ResourceTag/tag-key (clé de condition AWS globale)

aws : TagKeys (clé de condition AWS globale)

Decrypt

kms:Decrypt

Politique de clé

Oui

KMSclé

Conditions des opérations de chiffrement

km : EncryptionAlgorithm

km : RequestAlias

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

DeleteAlias

kms:DeleteAlias

Pour utiliser cette opération, l'appelant doit avoir l'autorisation kms:DeleteAlias sur deux ressources :

  • L'alias (dans une IAM politique)

  • La KMS clé (dans une politique clé)

Pour plus de détails, consultez Contrôle de l'accès aux alias.

Stratégie IAM (pour l'alias)

Non

Alias

Aucune (lorsque vous contrôlez l'accès à l'alias)

Politique clé (pour la KMS clé)

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAMpolitique Non

*

km : CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

DedriveSharedSecret

kms:DeriveSharedSecret

Stratégie de clé Oui KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Conditions des opérations de chiffrement  :

km : KeyAgreementAlgorithm

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAMpolitique Non

*

km : CallerAccount

DescribeKey

kms:DescribeKey

Stratégie de clé

Oui

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : RequestAlias

DisableKey

kms:DisableKey

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

DisableKeyRotation

kms:DisableKeyRotation

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAMpolitique Non

*

km : CallerAccount

EnableKey

kms:EnableKey

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

EnableKeyRotation

kms:EnableKeyRotation

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Conditions de rotation automatique des touches :

km : RotationPeriodInDays

Encrypt

kms:Encrypt

Politique de clé

Oui

KMSclé

Conditions des opérations de chiffrement

km : EncryptionAlgorithm

km : RequestAlias

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GenerateDataKey

kms:GenerateDataKey

Stratégie de clé

Oui

KMSclé

Conditions des opérations de chiffrement

km : EncryptionAlgorithm

km : RequestAlias

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

Stratégie de clé

Oui

KMSclé

Génère une paire de clés de données asymétriques qui est protégée par une clé de chiffrement KMS symétrique.

Conditions pour les paires de clés de données :

km : DataKeyPairSpec

Conditions des opérations de chiffrement

km : EncryptionAlgorithm

km : RequestAlias

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

Stratégie de clé

Oui

KMSclé

Génère une paire de clés de données asymétriques qui est protégée par une clé de chiffrement KMS symétrique.

Conditions pour les paires de clés de données :

km : DataKeyPairSpec

Conditions des opérations de chiffrement

km : EncryptionAlgorithm

km : RequestAlias

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

Stratégie de clé

Oui

KMSclé

Conditions des opérations de chiffrement

km : EncryptionAlgorithm

km : RequestAlias

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GenerateMac

kms:GenerateMac

Stratégie de clé Oui KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Conditions des opérations de chiffrement  :

km : MacAlgorithm

km : RequestAlias

GenerateRandom

kms:GenerateRandom

IAMpolitique

N/A

*

Aucun

GetKeyPolicy

kms:GetKeyPolicy

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

Stratégie de clé

Oui

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GetParametersForImport

kms:GetParametersForImport

Stratégie de clé

Non

KMSclé

km : WrappingAlgorithm

km : WrappingKeySpec

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

GetPublicKey

kms:GetPublicKey

Stratégie de clé

Oui

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : ExpirationModel

km : ValidTo

ListAliases

kms:ListAliases

IAMpolitique

Non

*

Aucun

ListGrants

kms:ListGrants

Stratégie de clé

Oui

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : GrantIsFor AWSResource

ListKeyPolicies

kms:ListKeyPolicies

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

ListKeyRotations

kms:ListKeyRotations

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

ListKeys

kms:ListKeys

IAMpolitique

Non

*

Aucun

ListResourceTags

kms:ListResourceTags

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAMpolitique

Le principal spécifié doit être dans le compte local, mais l'opération renvoie des octrois dans tous les comptes.

*

Aucun

PutKeyPolicy

kms:PutKeyPolicy

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

Pour utiliser cette opération, l'appelant a besoin d'une autorisation sur deux KMS touches :

  • kms:ReEncryptFromsur la KMS clé utilisée pour déchiffrer

  • kms:ReEncryptTosur la KMS clé utilisée pour chiffrer

Stratégie de clé

Oui

KMSclé

Conditions des opérations de chiffrement

km : EncryptionAlgorithm

km : RequestAlias

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

Pour utiliser cette opération, l'appelant doit avoir les autorisations suivantes :

  • kms:ReplicateKey sur la clé principale multi-région

  • kms:CreateKeydans une IAM politique de la région de réplication

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : ReplicaRegion

RetireGrant

kms:RetireGrant

L'autorisation de retirer un octroi est déterminée principalement par l'octroi. Une politique seule ne peut pas autoriser l'accès à cette opération. Pour de plus amples informations, veuillez consulter Retrait et révocation d'octrois.

IAMpolitique

(Cette autorisation n'est pas effective dans une politique de clé.)

Oui

KMSclé

Conditions du contexte de chiffrement :

kms EncryptionContext : touche contextuelle

km : EncryptionContextKeys

Conditions d'octroi :

km : GrantConstraintType

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

RevokeGrant

kms:RevokeGrant

Stratégie de clé

Oui

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions :

km : GrantIsFor AWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Sign (Signer)

kms:Sign

Politique de clé

Oui

KMSclé

Conditions de signature et de vérification :

km : MessageType

km : RequestAlias

km : SigningAlgorithm

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

TagResource

kms:TagResource

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Conditions d'étiquetage :

aws :RequestTag/tag-key (clé de condition AWS globale)

aws : TagKeys (clé de condition AWS globale)

UntagResource

kms:UntagResource

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Conditions d'étiquetage :

aws :RequestTag/tag-key (clé de condition AWS globale)

aws : TagKeys (clé de condition AWS globale)

UpdateAlias

kms:UpdateAlias

Pour utiliser cette opération, l'appelant doit avoir l'autorisation kms:UpdateAlias sur trois ressources :

  • L'alias

  • La KMS clé actuellement associée

  • La KMS clé nouvellement associée

Pour plus de détails, consultez Contrôle de l'accès aux alias.

Stratégie IAM (pour l'alias)

Non

Alias

Aucune (lorsque vous contrôlez l'accès à l'alias)

Politique en matière de clés (pour les KMS clés)

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAMpolitique Non

*

km : CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

Stratégie de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

Pour utiliser cette opération, l'appelant doit avoir l'autorisation kms:UpdatePrimaryRegion sur la clé principale multi-région qui deviendra une clé de réplica et sur la clé de réplica multi-région qui deviendra la clé principale.

Politique de clé

Non

KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Autres conditions

km : PrimaryRegion

Vérification

kms:Verify

Politique de clé

Oui

KMSclé

Conditions de signature et de vérification :

km : MessageType

km : RequestAlias

km : SigningAlgorithm

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

VerifyMac

kms:VerifyMac

Stratégie de clé Oui KMSclé

Conditions relatives aux opérations KMS clés :

km : CallerAccount

km : KeySpec

km : KeyUsage

km : KeyOrigin

km : MultiRegion

km : MultiRegionKeyType

km : ResourceAliases

aws :ResourceTag/tag-key (clé de condition AWS globale)

km : ViaService

Conditions des opérations de chiffrement  :

km : MacAlgorithm

km : RequestAlias

Descriptions des colonnes

Les colonnes de ce tableau fournissent les informations suivantes :

  • Actions et autorisations répertorie chaque AWS KMS API opération et l'autorisation qui l'autorise. Vous spécifiez l'opération dans l'élément Action d'une instruction de politique.

  • Le type de politique indique si l'autorisation peut être utilisée dans une politique clé ou une IAM politique.

    Key policy (Politique de clé) signifie que vous pouvez spécifier l'autorisation dans la politique de clé. Lorsque la politique clé contient l'énoncé de politique qui active IAM les politiques, vous pouvez spécifier l'autorisation dans une IAM stratégie.

    IAMpolitique signifie que vous ne pouvez spécifier l'autorisation que dans une IAM politique.

  • Cross-account use (Utilisation inter-comptes) indique les opérations que les utilisateurs autorisés peuvent effectuer sur des ressources dans un autre Compte AWS.

    Une valeur de Yes (Oui) signifie que les principaux peuvent effectuer l'opération sur des ressources dans un autre Compte AWS.

    Une valeur de No (Non) signifie que les principaux peuvent effectuer l'opération uniquement sur des ressources dans leur propre Compte AWS.

    Si vous accordez à un principal dans un compte différent une autorisation qui ne peut pas être utilisée sur une ressource inter-comptes, l'autorisation n'est pas effective. Par exemple, si vous TagResource autorisez un mandant d'un autre compte kms : à accéder à une KMS clé de votre compte, ses tentatives de taguer la KMS clé dans votre compte échoueront.

  • Resources répertorie les AWS KMS ressources auxquelles les autorisations s'appliquent. AWS KMS prend en charge deux types de ressources : une KMS clé et un alias. Dans une politique clé, la valeur de l'Resourceélément est toujours*, ce qui indique la KMS clé à laquelle la politique clé est attachée.

    Utilisez les valeurs suivantes pour représenter une AWS KMS ressource dans une IAM politique.

    KMSclé

    Lorsque la ressource est une KMS clé, utilisez sa clé ARN. Pour obtenir de l'aide, veuillez consulter Trouvez l'identifiant et la clé ARN.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    Par exemple :

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Alias

    Lorsque la ressource est un alias, utilisez son alias ARN. Pour obtenir de l'aide, veuillez consulter Trouvez le nom d'alias et l'alias ARN d'une KMS clé.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    Par exemple :

    arn:aws:kms:us-west- 2:111122223333 : alias/ ExampleAlias

    * (astérisque)

    Lorsque l'autorisation ne s'applique pas à une ressource particulière (KMSclé ou alias), utilisez un astérisque (*).

    Dans une IAM politique d' AWS KMS autorisation, un astérisque dans l'Resourceélément indique toutes les AWS KMS ressources (KMSclés et alias). Vous pouvez également utiliser un astérisque dans l'Resourceélément lorsque l' AWS KMS autorisation ne s'applique à aucune KMS clé ou alias en particulier. Par exemple, lorsque vous autorisez kms:CreateKey ou refusez une kms:ListKeys autorisation, vous devez définir l'Resourceélément sur*.

  • AWS KMS les clés de AWS KMS condition répertorient les clés de condition que vous pouvez utiliser pour contrôler l'accès à l'opération. Vous spécifiez des conditions dans l'élément Condition d'une politique. Pour de plus amples informations, veuillez consulter AWS KMS clés de condition. Cette colonne inclut également les clés de condition AWS globales qui sont prises en charge par tous les AWS services AWS KMS, mais pas par tous.