AWS KMS autorisations

Descriptions des colonnes

Ce tableau est conçu pour vous aider à comprendre AWS KMS les autorisations afin que vous puissiez contrôler l'accès à vos AWS KMS ressources. Les définitions des en-têtes de colonne apparaissent sous le tableau.

Vous pouvez également en savoir plus sur AWS KMS les autorisations dans la AWS Key Management Service rubrique Actions, ressources et clés de condition de la référence d'autorisation de service. Toutefois, cette rubrique ne répertorie pas toutes les clés de condition que vous pouvez utiliser pour affiner chaque autorisation.

Pour plus d'informations sur les AWS KMS opérations valides pour les clés KMS de chiffrement symétriques, les clés KMS asymétriques et les clés KMS HMAC, consultez le. Référence des types de clés

Note

Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de la table.

Actions et autorisations	Type de stratégie	Utilisation inter-comptes	Ressources (pour les politiques IAM)	AWS KMS clés de condition
CancelKeyDeletion `kms:CancelKeyDeletion`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
CreateAlias `kms:CreateAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:CreateAlias` sur deux ressources : L'alias (dans une politique IAM) La clé KMS (dans une politique de clé) Pour plus de détails, veuillez consulter Contrôle de l'accès aux alias.	Politique IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique de clé (pour la clé KMS)	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
CreateGrant `kms:CreateGrant`	Stratégie de clé	Oui	Clé KMS	Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions d'octroi : km : GrantConstraintType km : GranteePrincipal km : GrantIsFor AWSResource km : GrantOperations km : RetiringPrincipal Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
CreateKey `kms:CreateKey`	Politique IAM	Non	`*`	km : BypassPolicyLockoutSafetyCheck km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ViaService aws :RequestTag/tag-key (clé de condition AWS globale) aws :ResourceTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale)
Decrypt `kms:Decrypt`	Politique de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DeleteAlias `kms:DeleteAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:DeleteAlias` sur deux ressources : L'alias (dans une politique IAM) La clé KMS (dans une politique de clé) Pour plus de détails, veuillez consulter Contrôle de l'accès aux alias.	Politique IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique de clé (pour la clé KMS)	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DeriveSharedSecret `kms:DeriveSharedSecret`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions des opérations de chiffrement : km : KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	Politique IAM	Non	`*`	km : CallerAccount
DescribeKey `kms:DescribeKey`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : RequestAlias
DisableKey `kms:DisableKey`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
EnableKey `kms:EnableKey`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions de rotation automatique des touches : km : RotationPeriodInDays
Encrypt `kms:Encrypt`	Politique de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKey `kms:GenerateDataKey`	Stratégie de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Stratégie de clé	Oui	Clé KMS Génère une paire de clés de données asymétriques qui est protégée par une clé KMS de chiffrement symétrique.	Conditions pour les paires de clés de données : km : DataKeyPairSpec Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Stratégie de clé	Oui	Clé KMS Génère une paire de clés de données asymétriques qui est protégée par une clé KMS de chiffrement symétrique.	Conditions pour les paires de clés de données : km : DataKeyPairSpec Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Stratégie de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GenerateMac `kms:GenerateMac`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions des opérations de chiffrement : km : MacAlgorithm km : RequestAlias
GenerateRandom `kms:GenerateRandom`	Politique IAM	N/A	`*`	Aucun
GetKeyPolicy `kms:GetKeyPolicy`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GetParametersForImport `kms:GetParametersForImport`	Stratégie de clé	Non	Clé KMS	km : WrappingAlgorithm km : WrappingKeySpec Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
GetPublicKey `kms:GetPublicKey`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : ExpirationModel km : ValidTo
ListAliases `kms:ListAliases`	Politique IAM	Non	`*`	Aucun
ListGrants `kms:ListGrants`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ListKeyRotations `kms:ListKeyRotations`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ListKeys `kms:ListKeys`	Politique IAM	Non	`*`	Aucun
ListResourceTags `kms:ListResourceTags`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ListRetirableGrants `kms:ListRetirableGrants`	Politique IAM	Le principal spécifié doit être dans le compte local, mais l'opération renvoie des octrois dans tous les comptes.	`*`	Aucun
PutKeyPolicy `kms:PutKeyPolicy`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Pour utiliser cette opération, l'appelant doit avoir l'autorisation sur deux clés KMS : `kms:ReEncryptFrom` sur la clé KMS utilisée pour déchiffrer `kms:ReEncryptTo` sur la clé KMS utilisée pour chiffrer	Politique de clé	Oui	Clé KMS	Conditions des opérations de chiffrement km : EncryptionAlgorithm km : RequestAlias Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Pour utiliser cette opération, l'appelant doit avoir les autorisations suivantes : `kms:ReplicateKey` sur la clé principale multi-région `kms:CreateKey` dans une politique IAM dans la région de réplica	Politique de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : ReplicaRegion
RetireGrant `kms:RetireGrant` L'autorisation de retirer un octroi est déterminée principalement par l'octroi. Une politique seule ne peut pas autoriser l'accès à cette opération. Pour de plus amples informations, veuillez consulter Retrait et révocation d'octrois.	Politique IAM (Cette autorisation n'est pas effective dans une politique de clé.)	Oui	Clé KMS	Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle km : EncryptionContextKeys Conditions d'octroi : km : GrantConstraintType Conditions pour les opérations de clé KMS : km : CallerAccount km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
RevokeGrant `kms:RevokeGrant`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions : km : GrantIsFor AWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
Sign (Signer) `kms:Sign`	Politique de clé	Oui	Clé KMS	Conditions de signature et de vérification : km : MessageType km : RequestAlias km : SigningAlgorithm Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
TagResource `kms:TagResource`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions d'étiquetage : aws :RequestTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale)
UntagResource `kms:UntagResource`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions d'étiquetage : aws :RequestTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale)
UpdateAlias `kms:UpdateAlias` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:UpdateAlias` sur trois ressources : L'alias La clé KMS actuellement associée La clé KMS nouvellement associée Pour plus de détails, veuillez consulter Contrôle de l'accès aux alias.	Politique IAM (pour l'alias)	Non	Alias	Aucune (lorsque vous contrôlez l'accès à l'alias)
	Politique de clé (pour les clés KMS)	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	Politique IAM	Non	`*`	km : CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Stratégie de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Pour utiliser cette opération, l'appelant doit avoir l'autorisation `kms:UpdatePrimaryRegion` sur la clé principale multi-région qui deviendra une clé de réplica et sur la clé de réplica multi-région qui deviendra la clé principale.	Politique de clé	Non	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Autres conditions km : PrimaryRegion
Vérification `kms:Verify`	Politique de clé	Oui	Clé KMS	Conditions de signature et de vérification : km : MessageType km : RequestAlias km : SigningAlgorithm Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService
VerifyMac `kms:VerifyMac`	Stratégie de clé	Oui	Clé KMS	Conditions pour les opérations de clé KMS : km : CallerAccount km : KeySpec km : KeyUsage km : KeyOrigin km : MultiRegion km : MultiRegionKeyType km : ResourceAliases aws :ResourceTag/tag-key (clé de condition AWS globale) km : ViaService Conditions des opérations de chiffrement : km : MacAlgorithm km : RequestAlias

Descriptions des colonnes

Les colonnes de ce tableau fournissent les informations suivantes :

Actions et autorisations répertorie chaque opération AWS KMS d'API et l'autorisation qui autorise l'opération. Vous spécifiez l'opération dans l'élément Action d'une instruction de politique.
Policy type (Type de politique) indique si l'autorisation peut être utilisée dans une politique de clé ou une politique IAM.

Key policy (Politique de clé) signifie que vous pouvez spécifier l'autorisation dans la politique de clé. Lorsque la politique de clé contient l'instruction de politique qui active les politiques IAM, vous pouvez spécifier l'autorisation dans une politique IAM.

IAM policy (Politique IAM) signifie que vous pouvez spécifier l'autorisation uniquement dans une politique IAM.
Cross-account use (Utilisation inter-comptes) indique les opérations que les utilisateurs autorisés peuvent effectuer sur des ressources dans un autre Compte AWS.

Une valeur de Yes (Oui) signifie que les principaux peuvent effectuer l'opération sur des ressources dans un autre Compte AWS.

Une valeur de No (Non) signifie que les principaux peuvent effectuer l'opération uniquement sur des ressources dans leur propre Compte AWS.

Si vous accordez à un principal dans un compte différent une autorisation qui ne peut pas être utilisée sur une ressource inter-comptes, l'autorisation n'est pas effective. Par exemple, si vous TagResource autorisez un mandant d'un autre compte KMS : à utiliser une clé KMS dans votre compte, ses tentatives de balisage de la clé KMS dans votre compte échoueront.
Resources répertorie les AWS KMS ressources auxquelles les autorisations s'appliquent. AWS KMS prend en charge deux types de ressources : une clé KMS et un alias. Dans une politique de clé, la valeur de l'élément Resource est toujours *, ce qui indique la clé KMS à laquelle la politique de clé est attachée.

Utilisez les valeurs suivantes pour représenter une AWS KMS ressource dans une politique IAM.

Clé KMS

Lorsque la ressource est une clé KMS, utilisez son ARN de clé. Pour obtenir de l'aide, veuillez consulter Trouvez l'ID et l'ARN de la clé.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Par exemple :

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Lorsque la ressource est un alias, utilisez son ARN d'alias. Pour obtenir de l'aide, veuillez consulter Trouvez le nom d'alias et l'ARN de l'alias pour une clé KMS.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Par exemple :

arn:aws:kms:us-west- 2:111122223333 : alias/ ExampleAlias

* (astérisque)

Lorsque l'autorisation ne s'applique pas à une ressource particulière (clé KMS ou alias), utilisez un astérisque (*).

Dans une politique IAM pour une AWS KMS autorisation, un astérisque dans l'Resourceélément indique toutes les AWS KMS ressources (clés KMS et alias). Vous pouvez également utiliser un astérisque dans l'Resourceélément lorsque l' AWS KMS autorisation ne s'applique à aucune clé ou alias KMS en particulier. Par exemple, lorsque vous autorisez kms:CreateKey ou refusez une kms:ListKeys autorisation, vous devez définir l'Resourceélément sur*.
AWS KMS les clés de AWS KMS condition répertorient les clés de condition que vous pouvez utiliser pour contrôler l'accès à l'opération. Vous spécifiez des conditions dans l'élément Condition d'une politique. Pour de plus amples informations, veuillez consulter AWS KMS clés de condition. Cette colonne inclut également les clés de condition AWS globales qui sont prises en charge par tous les AWS services AWS KMS, mais pas par tous.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Référence de spécification clé

AWS KMS opérations internes

Sélectionner vos préférences de cookies

Personnaliser les préférences de cookies

Essentiels

Performances

Fonctionnels

Publicitaires

Impossible d'enregistrer les préférences concernant les cookies

Note

Descriptions des colonnes

Sur cette page

Cette page vous a-t-elle été utile ?

Rubrique suivante :

Rubrique précédente :

Avez-vous besoin d’aide ?