AWS kebijakan terkelola: AWSKeyManagementServicePowerUser AWS kebijakan terkelola: AWSServiceRoleForKeyManagementServiceCustomKeyStores AWS kebijakan terkelola: AWSServiceRoleForKeyManagementServiceMultiRegionKeys AWS KMS pembaruan kebijakan AWS terkelola

AWS kebijakan terkelola untuk AWS Key Management Service

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

AWS kebijakan terkelola: AWSKeyManagementServicePowerUser

Anda dapat melampirkan kebijakan AWSKeyManagementServicePowerUser ke identitas IAM Anda.

Anda dapat menggunakan kebijakan AWSKeyManagementServicePowerUser terkelola untuk memberikan izin pengguna daya kepada IAM prinsipal di akun Anda. Pengguna daya dapat membuat KMS kunci, menggunakan dan mengelola KMS kunci yang mereka buat, dan melihat semua KMS kunci dan IAM identitas. Prinsipal yang memiliki kebijakan AWSKeyManagementServicePowerUser terkelola juga bisa mendapatkan izin dari sumber lain, termasuk kebijakan utama, IAM kebijakan lain, dan hibah.

AWSKeyManagementServicePowerUseradalah IAM kebijakan yang AWS dikelola. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan IAM Pengguna.

catatan

Izin dalam kebijakan ini yang khusus untuk KMS kunci, seperti kms:TagResource dankms:GetKeyRotationStatus, hanya efektif jika kebijakan kunci untuk kunci tersebut secara eksplisit mengizinkan IAM kebijakan penggunaan Akun AWS untuk mengontrol akses ke KMS kunci tersebut. Untuk menentukan apakah izin khusus untuk KMS kunci, lihat AWS KMS izin dan cari nilai KMSkunci di kolom Resources.

Kebijakan ini memberikan izin pengguna daya pada KMS kunci apa pun dengan kebijakan kunci yang mengizinkan pengoperasian. Untuk izin lintas akun, seperti kms:DescribeKey dankms:ListGrants, ini mungkin termasuk KMS kunci yang tidak dipercaya. Akun AWS Untuk detailnya, lihat Praktik terbaik untuk IAM kebijakan dan Memungkinkan pengguna di akun lain untuk menggunakan KMS kunci. Untuk menentukan apakah izin valid pada KMS kunci di akun lain, lihat AWS KMS izin dan cari nilai Ya di kolom Penggunaan lintas akun.

Untuk mengizinkan prinsipal melihat AWS KMS konsol tanpa kesalahan, prinsipal memerlukan GetResources izin tag:, yang tidak termasuk dalam kebijakan. AWSKeyManagementServicePowerUser Anda dapat mengizinkan izin ini dalam IAM kebijakan terpisah.

Kebijakan IAM terkelola AWSKeyManagementServicePowerUser mencakup izin-izin ini.

Memungkinkan kepala sekolah untuk membuat kunci. KMS Karena proses ini mencakup pengaturan kebijakan utama, pengguna daya dapat memberikan izin kepada diri mereka sendiri dan orang lain untuk menggunakan dan mengelola KMS kunci yang mereka buat.
Memungkinkan prinsipal untuk membuat dan menghapus alias dan tag pada semua kunci. KMS Mengubah tag atau alias dapat mengizinkan atau menolak izin untuk menggunakan dan mengelola KMS kunci. Untuk detailnya, lihat ABACuntuk AWS KMS.
Memungkinkan prinsipal untuk mendapatkan informasi rinci tentang semua KMS kunci, termasuk kunci mereka, konfigurasi kriptografiARN, kebijakan kunci, alias, tag, dan status rotasi.
Memungkinkan kepala sekolah untuk mencantumkan IAM pengguna, grup, dan peran.
Kebijakan ini tidak mengizinkan prinsipal untuk menggunakan atau mengelola KMS kunci yang tidak mereka buat. Namun, mereka dapat mengubah alias dan tag pada semua KMS kunci, yang mungkin mengizinkan atau menolak izin mereka untuk menggunakan atau mengelola KMS kunci.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSServiceRoleForKeyManagementServiceCustomKeyStores

Anda tidak dapat melampirkan AWSServiceRoleForKeyManagementServiceCustomKeyStores ke entitas IAM. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk melihat AWS CloudHSM kluster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda dan membuat jaringan untuk mendukung koneksi antara penyimpanan kunci kustom dan klasternya. AWS CloudHSM Untuk informasi selengkapnya, lihat Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2.

AWS kebijakan terkelola: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

Anda tidak dapat melampirkan AWSServiceRoleForKeyManagementServiceMultiRegionKeys ke entitas IAM. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk menyinkronkan perubahan apa pun pada materi utama kunci utama Multi-wilayah ke kunci replika. Untuk informasi selengkapnya, lihat Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region.

AWS KMS pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS KMS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS umpan di AWS KMS Riwayat dokumen halaman.

Perubahan	Deskripsi	Tanggal
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – Pembaruan ke kebijakan yang sudah ada	AWS KMS menambahkan kolom pernyataan ID (`Sid`) ke kebijakan terkelola dalam kebijakan versi v2.	November 21, 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Pembaruan ke kebijakan yang sudah ada	AWS KMS menambahkan`ec2:DescribeVpcs`,`ec2:DescribeNetworkAcls`, dan `ec2:DescribeNetworkInterfaces` izin untuk memantau perubahan VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.	10 November 2023
AWS KMS mulai melacak perubahan	AWS KMS mulai melacak perubahan untuk kebijakan AWS terkelolanya.	10 November 2023

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Manajemen identitas dan akses

Peran terkait layanan