Menggunakan IAM kebijakan dengan AWS KMS

Anda dapat menggunakan IAM kebijakan, bersama dengan kebijakan utama, hibah, dan kebijakan VPC titik akhir, untuk mengontrol akses ke AWS KMS keys in AWS KMS.

Semua KMS kunci harus memiliki kebijakan kunci. IAMkebijakan bersifat opsional. Untuk menggunakan IAM kebijakan untuk mengontrol akses ke KMS kunci, kebijakan kunci untuk KMS kunci harus memberikan izin akun untuk menggunakan IAM kebijakan. Secara khusus, kebijakan utama harus menyertakan pernyataan kebijakan yang memungkinkan IAM kebijakan.

IAMkebijakan dapat mengontrol akses ke AWS KMS operasi. Tidak seperti kebijakan utama, IAM kebijakan dapat mengontrol akses ke beberapa KMS kunci dan memberikan izin untuk operasi beberapa kunci terkait AWS layanan. Tetapi IAM kebijakan sangat berguna untuk mengendalikan akses ke operasi, seperti CreateKey, yang tidak dapat dikendalikan oleh kebijakan utama karena mereka tidak melibatkan KMS kunci tertentu.

Jika Anda mengakses AWS KMS melalui titik akhir Amazon Virtual Private Cloud (AmazonVPC), Anda juga dapat menggunakan kebijakan VPC titik akhir untuk membatasi akses ke AWS KMS sumber daya saat menggunakan titik akhir. Misalnya, saat menggunakan VPC titik akhir, Anda mungkin hanya mengizinkan prinsipal di Akun AWS untuk mengakses kunci yang dikelola pelanggan Anda. Untuk detailnya, lihat Mengontrol akses ke VPC endpoint.

Untuk bantuan menulis dan memformat dokumen JSON kebijakan, lihat Referensi IAM JSON Kebijakan di Panduan IAM Pengguna.