AWS KMS autorisations

Ce tableau est conçu pour vous aider à comprendre AWS KMS les autorisations afin que vous puissiez contrôler l'accès à vos AWS KMS ressources. Les définitions des en-têtes de colonne apparaissent sous le tableau.

Vous pouvez également en savoir plus sur AWS KMS les autorisations dans la AWS Key Management Service rubrique Actions, ressources et clés de condition de la référence d'autorisation de service. Toutefois, cette rubrique ne répertorie pas toutes les clés de condition que vous pouvez utiliser pour affiner chaque autorisation.

Note

Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de la table.

Actions et autorisations	Type de stratégie	Utilisation inter-comptes	Ressources (pour les IAM politiques)	AWS KMS clés de condition
CancelKeyDeletion `kms:CancelKeyDeletion`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAMpolitique	Non	`*`	km : CallerAccount
CreateAlias `kms:CreateAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:CreateAlias` sur deux ressources : L'alias (dans une IAM politique) La KMS clé (dans une politique clé) Pour plus de détails, consultez Contrôle de l'accès aux alias.	Stratégie IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique clé (pour la KMS clé)	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAMpolitique	Non	`*`	km : CallerAccount
CreateGrant `kms:CreateGrant`	Stratégie de clé	Oui	KMSclé	Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions d'octroi : km : GrantConstraintType km : GranteePrincipal km : GrantIsFor AWSResource km : GrantOperations km : RetiringPrincipal Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
CreateKey `kms:CreateKey`	IAMpolitique	Non	`*`	km : BypassPolicyLockoutSafetyCheck km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ViaService aws :RequestTag/tag-key (clé de condition AWS globale) aws :ResourceTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale)
Decrypt `kms:Decrypt`	Politique de clé	Oui	KMSclé	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DeleteAlias `kms:DeleteAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:DeleteAlias` sur deux ressources : L'alias (dans une IAM politique) La KMS clé (dans une politique clé) Pour plus de détails, consultez Contrôle de l'accès aux alias.	Stratégie IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique clé (pour la KMS clé)	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAMpolitique	Non	`*`	km : CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DedriveSharedSecret `kms:DeriveSharedSecret`	Stratégie de clé	Oui	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions des opérations de chiffrement : km : KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAMpolitique	Non	`*`	km : CallerAccount
DescribeKey `kms:DescribeKey`	Stratégie de clé	Oui	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : RequestAlias
DisableKey `kms:DisableKey`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAMpolitique	Non	`*`	km : CallerAccount
EnableKey `kms:EnableKey`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Stratégie de clé	Non	KMSclé (symétrique uniquement)	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions de rotation automatique des touches : km : RotationPeriodInDays
Encrypt `kms:Encrypt`	Politique de clé	Oui	KMSclé	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKey `kms:GenerateDataKey`	Stratégie de clé	Oui	KMSclé (symétrique uniquement)	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Stratégie de clé	Oui	KMSclé (symétrique uniquement) Génère une paire de clés de données asymétriques qui est protégée par une clé de chiffrement KMS symétrique.	Conditions pour les paires de clés de données : km : DataKeyPairSpec Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Stratégie de clé	Oui	KMSclé (symétrique uniquement) Génère une paire de clés de données asymétriques qui est protégée par une clé de chiffrement KMS symétrique.	Conditions pour les paires de clés de données : km : DataKeyPairSpec Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Stratégie de clé	Oui	KMSclé (symétrique uniquement)	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateMac `kms:GenerateMac`	Stratégie de clé	Oui	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions des opérations de chiffrement : km : MacAlgorithm km : RequestAlias
GenerateRandom `kms:GenerateRandom`	IAMpolitique	N/A	`*`	Aucun
GetKeyPolicy `kms:GetKeyPolicy`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Stratégie de clé	Oui	KMSclé (symétrique uniquement)	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GetParametersForImport `kms:GetParametersForImport`	Stratégie de clé	Non	KMSclé	km : WrappingAlgorithm km : WrappingKeySpec Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GetPublicKey `kms:GetPublicKey`	Stratégie de clé	Oui	KMSclé (asymétrique uniquement)	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : ExpirationModel km : ValidTo
ListAliases `kms:ListAliases`	IAMpolitique	Non	`*`	Aucun
ListGrants `kms:ListGrants`	Stratégie de clé	Oui	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ListKeyRotations `kms:ListKeyRotations`	Stratégie de clé	Non	KMSclé (symétrique uniquement)	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ListKeys `kms:ListKeys`	IAMpolitique	Non	`*`	Aucun
ListResourceTags `kms:ListResourceTags`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAMpolitique	Le principal spécifié doit être dans le compte local, mais l'opération renvoie des octrois dans tous les comptes.	`*`	Aucun
PutKeyPolicy `kms:PutKeyPolicy`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Pour utiliser cette opération, l'appelant a besoin d'une autorisation sur deux KMS touches : `kms:ReEncryptFrom`sur la KMS clé utilisée pour déchiffrer `kms:ReEncryptTo`sur la KMS clé utilisée pour chiffrer	Stratégie de clé	Oui	KMSclé	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Pour utiliser cette opération, l'appelant doit avoir les autorisations suivantes : `kms:ReplicateKey` sur la clé principale multi-région `kms:CreateKey`dans une IAM politique de la région de réplication	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : ReplicaRegion
RetireGrant `kms:RetireGrant` L'autorisation de retirer un octroi est déterminée principalement par l'octroi. Une politique seule ne peut pas autoriser l'accès à cette opération. Pour de plus amples informations, veuillez consulter Retrait et révocation d'octrois.	IAMpolitique (Cette autorisation n'est pas effective dans une politique de clé.)	Oui	KMSclé	Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions d'octroi : km : GrantConstraintType Conditions relatives aux opérations KMS clés : km : CallerAccount km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
RevokeGrant `kms:RevokeGrant`	Stratégie de clé	Oui	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : GrantIsFor AWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Stratégie de clé	Non	KMSclé (symétrique uniquement)	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
Sign (Signer) `kms:Sign`	Politique de clé	Oui	KMSclé (asymétrique uniquement)	Conditions de signature et de vérification : km : MessageType km : RequestAlias km : SigningAlgorithm Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
TagResource `kms:TagResource`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions d'étiquetage : aws :RequestTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale)
UntagResource `kms:UntagResource`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions d'étiquetage : aws :RequestTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale)
UpdateAlias `kms:UpdateAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:UpdateAlias` sur trois ressources : L'alias La KMS clé actuellement associée La KMS clé nouvellement associée Pour plus de détails, consultez Contrôle de l'accès aux alias.	Stratégie IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique en matière de clés (pour les KMS clés)	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAMpolitique	Non	`*`	km : CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Stratégie de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:UpdatePrimaryRegion` sur la clé principale multi-région qui deviendra une clé de réplica et sur la clé de réplica multi-région qui deviendra la clé principale.	Politique de clé	Non	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions km : PrimaryRegion
Vérification `kms:Verify`	Politique de clé	Oui	KMSclé (asymétrique uniquement)	Conditions de signature et de vérification : km : MessageType km : RequestAlias km : SigningAlgorithm Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
VerifyMac `kms:VerifyMac`	Stratégie de clé	Oui	KMSclé	Conditions relatives aux opérations KMS clés : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions des opérations de chiffrement : km : MacAlgorithm km : RequestAlias

Descriptions des colonnes

Les colonnes de ce tableau fournissent les informations suivantes :

Actions et autorisations répertorie chaque AWS KMS API opération et l'autorisation qui l'autorise. Vous spécifiez l'opération dans l'élément Action d'une instruction de politique.
Le type de politique indique si l'autorisation peut être utilisée dans une politique clé ou une IAM politique.

Key policy (Politique de clé) signifie que vous pouvez spécifier l'autorisation dans la politique de clé. Lorsque la politique clé contient l'énoncé de politique qui active IAM les politiques, vous pouvez spécifier l'autorisation dans une IAM stratégie.

IAMpolitique signifie que vous ne pouvez spécifier l'autorisation que dans une IAM politique.
Cross-account use (Utilisation inter-comptes) indique les opérations que les utilisateurs autorisés peuvent effectuer sur des ressources dans un autre Compte AWS.

Une valeur de Yes (Oui) signifie que les principaux peuvent effectuer l'opération sur des ressources dans un autre Compte AWS.

Une valeur de No (Non) signifie que les principaux peuvent effectuer l'opération uniquement sur des ressources dans leur propre Compte AWS.

Si vous accordez à un principal dans un compte différent une autorisation qui ne peut pas être utilisée sur une ressource inter-comptes, l'autorisation n'est pas effective. Par exemple, si vous TagResource autorisez un mandant d'un autre compte kms : à accéder à une KMS clé de votre compte, ses tentatives de taguer la KMS clé dans votre compte échoueront.
Resources répertorie les AWS KMS ressources auxquelles les autorisations s'appliquent. AWS KMS prend en charge deux types de ressources : une KMS clé et un alias. Dans une politique clé, la valeur de l'Resourceélément est toujours*, ce qui indique la KMS clé à laquelle la politique clé est attachée.

Utilisez les valeurs suivantes pour représenter une AWS KMS ressource dans une IAM politique.

KMSclé

Lorsque la ressource est une KMS clé, utilisez sa clé ARN. Pour obtenir de l'aide, veuillez consulter Trouvez l'identifiant et la clé ARN.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Par exemple :

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Lorsque la ressource est un alias, utilisez son alias ARN. Pour obtenir de l'aide, veuillez consulter Trouvez le nom d'alias et l'alias ARN d'une KMS clé.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Par exemple :

arn:aws:kms:us-west- 2:111122223333 : alias/ ExampleAlias

* (astérisque)

Lorsque l'autorisation ne s'applique pas à une ressource particulière (KMSclé ou alias), utilisez un astérisque (*).

Dans une IAM politique d' AWS KMS autorisation, un astérisque dans l'Resourceélément indique toutes les AWS KMS ressources (KMSclés et alias). Vous pouvez également utiliser un astérisque dans l'Resourceélément lorsque l' AWS KMS autorisation ne s'applique à aucune KMS clé ou alias en particulier. Par exemple, lorsque vous accordez ou refusez des autorisations kms:CreateKey ou kms:ListKeys, vous pouvez définir l'élément Resource sur * ou sur une variante spécifique au compte, telle que arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*.
AWS KMS les clés de AWS KMS condition répertorient les clés de condition que vous pouvez utiliser pour contrôler l'accès à l'opération. Vous spécifiez des conditions dans l'élément Condition d'une politique. Pour de plus amples informations, veuillez consulter AWS KMS clés de condition. Cette colonne inclut également les clés de condition AWS globales qui sont prises en charge par tous les AWS services AWS KMS, mais pas par tous.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Référence de spécification clé

AWS KMS opérations internes