Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan kunci default
Saat membuat kunci KMS, Anda dapat menentukan kebijakan kunci untuk kunci KMS baru. Jika Anda tidak menyediakannya, AWS KMS buatlah satu untuk Anda. Kebijakan kunci default yang AWS KMS digunakan berbeda-beda tergantung pada apakah Anda membuat kunci di AWS KMS konsol atau Anda menggunakan AWS KMS API.
Kebijakan kunci default saat Anda membuat kunci KMS secara terprogram
Saat Anda membuat kunci KMS secara terprogram dengan AWS KMS
API (termasuk dengan menggunakan AWS SDK
Kebijakan kunci default saat Anda membuat kunci KMS dengan AWS Management Console
Saat Anda membuat kunci KMS dengan AWS Management Console, kebijakan kunci dimulai dengan pernyataan kebijakan yang memungkinkan akses ke Akun AWS dan mengaktifkan kebijakan IAM. Konsol kemudian menambahkan pernyataan administrator kunci, pernyataanpengguna kunci, dan (untuk sebagian besar jenis kunci) pernyataan yang memungkinkan prinsipal untuk menggunakan kunci KMS dengan layanan lain. AWS Anda dapat menggunakan fitur AWS KMS konsol untuk menentukan pengguna IAM, iamRoles, dan Akun AWS siapa administrator kunci dan mereka yang merupakan pengguna kunci (atau keduanya).
Izin
Mengizinkan akses ke Akun AWS dan mengaktifkan kebijakan IAM
Pernyataan kebijakan kunci default berikut sangat penting.
-
Ini memberikan Akun AWS yang memiliki kunci KMS akses penuh ke kunci KMS.
Tidak seperti kebijakan AWS sumber daya lainnya, kebijakan AWS KMS kunci tidak secara otomatis memberikan izin ke akun atau identitasnya. Untuk memberikan izin kepada administrator akun, kebijakan utama harus menyertakan pernyataan eksplisit yang memberikan izin ini, seperti ini.
-
Ini memungkinkan akun untuk menggunakan kebijakan IAM untuk memungkinkan akses ke kunci KMS, selain kebijakan utama.
Tanpa izin ini, kebijakan IAM yang memungkinkan akses ke kunci tidak efektif, meskipun kebijakan IAM yang menolak akses ke kunci masih efektif.
-
Ini mengurangi risiko kunci menjadi tidak terkendali dengan memberikan izin kontrol akses ke administrator akun, termasuk pengguna root akun, yang tidak dapat dihapus.
Pernyataan kebijakan kunci berikut adalah seluruh kebijakan kunci default untuk kunci KMS yang dibuat secara terprogram. Ini adalah pernyataan kebijakan pertama dalam kebijakan kunci default untuk kunci KMS yang dibuat di AWS KMS konsol.
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }
- Mengizinkan kebijakan IAM untuk mengizinkan akses ke kunci KMS.
-
Pernyataan kebijakan utama yang ditunjukkan di atas memberikan izin Akun AWS yang memiliki kunci untuk menggunakan kebijakan IAM, serta kebijakan utama, untuk mengizinkan semua tindakan (
kms:*) pada kunci KMS.Prinsip dalam pernyataan kebijakan utama ini adalah pokok akun, yang diwakili oleh ARN dalam format ini:.
arn:aws:iam::Prinsipal akun mewakili AWS akun dan administratornya.account-id:rootKetika prinsipal dalam pernyataan kebijakan utama adalah pokok akun, pernyataan kebijakan tidak memberikan izin utama IAM untuk menggunakan kunci KMS. Sebagai gantinya, akun dapat menggunakan kebijakan IAM untuk mendelegasikan izin yang ditentukan dalam pernyataan kebijakan. Pernyataan kebijakan kunci default ini memungkinkan akun menggunakan kebijakan IAM untuk mendelegasikan izin untuk semua tindakan (
kms:*) pada kunci KMS. - Mengurangi risiko kunci KMS menjadi tidak terkendali.
-
Tidak seperti kebijakan AWS sumber daya lainnya, kebijakan AWS KMS kunci tidak secara otomatis memberikan izin ke akun atau prinsipalnya. Untuk memberikan izin kepada prinsipal apa pun, termasuk prinsipal akun, Anda harus menggunakan pernyataan kebijakan utama yang memberikan izin secara eksplisit. Anda tidak diharuskan untuk memberikan prinsipal akun, atau prinsipal apa pun, akses ke kunci KMS. Namun, memberikan akses ke prinsipal akun membantu Anda mencegah kunci menjadi tidak dapat dikelola.
Misalnya, Anda membuat kebijakan kunci yang hanya memberikan satu pengguna akses ke kunci KMS. Jika Anda kemudian menghapus pengguna itu, kunci menjadi tidak dapat dikelola dan Anda harus menghubungi AWS Support
untuk mendapatkan kembali akses ke kunci KMS. Pernyataan kebijakan kunci yang ditunjukkan di atas memberikan izin untuk mengontrol kunci ke prinsipal akun, yang mewakili Akun AWS dan administratornya, termasuk pengguna root akun. Pengguna root akun adalah satu-satunya prinsipal yang tidak dapat dihapus kecuali Anda menghapus Akun AWS. Praktik terbaik IAM mencegah bertindak atas nama pengguna root akun, kecuali dalam keadaan darurat. Namun, Anda mungkin perlu bertindak sebagai pengguna root akun jika Anda menghapus semua pengguna dan peran lain dengan akses ke kunci KMS.
Memungkinkan administrator kunci untuk mengelola kunci KMS
Kebijakan kunci default yang dibuat oleh konsol tersebut mengizinkan Anda memilih pengguna IAM dan peran dalam akun dan membuatnya administrator kunci. Pernyataan ini disebut pernyataan administrator kunci. Administrator kunci memiliki izin untuk mengelola kunci KMS, tetapi tidak memiliki izin untuk menggunakan kunci KMS dalam operasi kriptografi. Anda dapat menambahkan pengguna dan peran IAM ke daftar administrator kunci saat Anda membuat kunci KMS dalam tampilan default atau tampilan kebijakan.
Awas
Karena administrator kunci memiliki izin untuk mengubah kebijakan kunci dan membuat hibah, mereka dapat memberikan AWS KMS izin kepada diri mereka sendiri dan orang lain yang tidak ditentukan dalam kebijakan ini.
Prinsipal yang memiliki izin untuk mengelola tag dan alias juga dapat mengontrol akses ke kunci KMS. Lihat perinciannya di ABAC untuk AWS KMS.
catatan
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
Contoh berikut menunjukkan pernyataan administrator kunci dalam tampilan default AWS KMS konsol.
Berikut ini adalah contoh pernyataan administrator kunci dalam tampilan kebijakan AWS KMS konsol. Pernyataan administrator kunci ini adalah untuk kunci KMS enkripsi simetris wilayah tunggal.
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS":"arn:aws:iam::111122223333:role/ExampleAdminRole"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion", "kms:RotateKeyOnDemand" ], "Resource": "*" }
Pernyataan administrator kunci default untuk kunci KMS yang paling umum, kunci KMS enkripsi simetris wilayah tunggal, memungkinkan izin berikut. Untuk informasi rinci tentang setiap izin, lihatAWS KMS izin.
Saat Anda menggunakan AWS KMS konsol untuk membuat kunci KMS, konsol menambahkan pengguna dan peran yang Anda tentukan ke Principal elemen dalam pernyataan administrator kunci.
Banyak dari izin ini berisi karakter wildcard (*), yang memungkinkan semua izin yang dimulai dengan kata kerja yang ditentukan. Akibatnya, ketika AWS KMS menambahkan operasi API baru, administrator kunci secara otomatis diizinkan untuk menggunakannya. Anda tidak perlu memperbarui kebijakan utama Anda untuk menyertakan operasi baru. Jika Anda lebih suka membatasi administrator kunci Anda ke set operasi API tetap, Anda dapat mengubah kebijakan kunci Anda.
kms:Create*-
Memungkinkan kms:CreateAliasdan kms:CreateGrant. (
kms:CreateKeyIzin hanya berlaku dalam kebijakan IAM.) kms:Describe*-
Memungkinkan kms:DescribeKey.
kms:DescribeKeyIzin diperlukan untuk melihat halaman detail kunci untuk kunci KMS di. AWS Management Console kms:Enable*-
Memungkinkan kms:EnableKey. Untuk kunci KMS enkripsi simetris, ini juga memungkinkan. kms:EnableKeyRotation
kms:List*-
Memungkinkan kms:ListGrants,
kms:ListKeyPolicies, dan kms:ListResourceTags. (kms:ListKeysIzinkms:ListAliasesdan, yang diperlukan untuk melihat kunci KMS di AWS Management Console, hanya berlaku dalam kebijakan IAM.) kms:Put*-
Memungkinkan
kms:PutKeyPolicy. Izin ini memungkinkan administrator kunci untuk mengubah kebijakan kunci untuk kunci KMS ini. kms:Update*-
Memungkinkan kms:UpdateAliasdan kms:UpdateKeyDescription. Untuk kunci Multi-region, ini memungkinkan kms:UpdatePrimaryRegionpada kunci KMS ini.
kms:Revoke*-
Memungkinkan kms:RevokeGrant, yang memungkinkan administrator kunci untuk menghapus hibah bahkan jika mereka bukan kepala sekolah pensiun dalam hibah.
kms:Disable*-
Memungkinkan kms:DisableKey. Untuk kunci KMS enkripsi simetris, ini juga memungkinkan. kms:DisableKeyRotation
kms:Get*-
Memungkinkan kms:GetKeyPolicydan kms:GetKeyRotationStatus. Untuk kunci KMS dengan bahan kunci impor, memungkinkan
kms:GetParametersForImport. Untuk kunci KMS asimetris, ini memungkinkan.kms:GetPublicKeykms:GetKeyPolicyIzin diperlukan untuk melihat kebijakan kunci kunci KMS di. AWS Management Console kms:Delete*-
Memungkinkan kms:DeleteAlias. Untuk kunci dengan bahan kunci yang diimpor, memungkinkan kms:DeleteImportedKeyMaterial.
kms:Delete*Izin tidak mengizinkan administrator kunci untuk menghapus kunci KMS ()ScheduleKeyDeletion. kms:TagResource-
Memungkinkan kms:TagResource, yang memungkinkan administrator kunci untuk menambahkan tag ke kunci KMS. Karena tag juga dapat digunakan untuk mengontrol akses ke kunci KMS, izin ini dapat memungkinkan administrator untuk mengizinkan atau menolak akses ke kunci KMS. Lihat perinciannya di ABAC untuk AWS KMS.
kms:UntagResource-
Memungkinkan kms:UntagResource, yang memungkinkan administrator kunci untuk menghapus tag dari kunci KMS. Karena tag dapat digunakan untuk mengontrol akses ke kunci, izin ini dapat memungkinkan administrator untuk mengizinkan atau menolak akses ke kunci KMS. Lihat perinciannya di ABAC untuk AWS KMS.
kms:ScheduleKeyDeletion-
Memungkinkan
kms:ScheduleKeyDeletion, yang memungkinkan administrator kunci untuk menghapus kunci KMS ini. Untuk menghapus izin ini, kosongkan opsi Izinkan administrator kunci untuk menghapus opsi kunci ini. kms:CancelKeyDeletion-
Memungkinkan
kms:CancelKeyDeletion, yang memungkinkan administrator kunci untuk membatalkan penghapusan kunci KMS ini. Untuk menghapus izin ini, kosongkan opsi Izinkan administrator kunci untuk menghapus opsi kunci ini. kms:RotateKeyOnDemand-
Memungkinkan
kms:RotateKeyOnDemand, yang memungkinkan administrator kunci untuk melakukan rotasi sesuai permintaan dari materi utama dalam kunci KMS ini.
AWS KMS menambahkan izin berikut ke pernyataan administrator kunci default saat Anda membuat kunci tujuan khusus.
kms:ImportKeyMaterial-
kms:ImportKeyMaterialIzin memungkinkan administrator kunci untuk mengimpor materi kunci ke dalam kunci KMS. Izin ini disertakan dalam kebijakan kunci hanya jika Anda membuat kunci KMS tanpa materi kunci. kms:ReplicateKey-
kms:ReplicateKeyIzin ini memungkinkan administrator kunci untuk membuat replika kunci utama Multi-wilayah di Wilayah yang berbeda. AWS Izin ini disertakan dalam kebijakan kunci hanya jika Anda membuat kunci primer atau replika Multi-wilayah. kms:UpdatePrimaryRegion-
kms:UpdatePrimaryRegionIzin ini memungkinkan administrator kunci untuk mengubah kunci replika Multi-region menjadi kunci utama Multi-region. Izin ini disertakan dalam kebijakan kunci hanya jika Anda membuat kunci primer atau replika Multi-wilayah.
Memungkinkan pengguna kunci untuk menggunakan kunci KMS
Kebijakan kunci default yang dibuat konsol untuk kunci KMS memungkinkan Anda memilih pengguna IAM dan peran IAM di akun, dan eksternal Akun AWS, dan menjadikannya pengguna utama.
Konsol tersebut menambahkan dua pernyataan kebijakan untuk kebijakan kunci bagi pengguna kunci.
-
Gunakan kunci KMS secara langsung — Pernyataan kebijakan kunci pertama memberi pengguna kunci izin untuk menggunakan kunci KMS secara langsung untuk semua operasi kriptografi yang didukung untuk jenis kunci KMS tersebut.
-
Gunakan kunci KMS dengan AWS layanan — Pernyataan kebijakan kedua memberikan izin kepada pengguna kunci untuk mengizinkan AWS layanan yang terintegrasi dengan menggunakan kunci KMS atas nama mereka AWS KMS untuk melindungi sumber daya, seperti bucket Amazon S3 dan tabel Amazon DynamoDB.
Anda dapat menambahkan pengguna IAM, peran IAM, dan lainnya Akun AWS ke daftar pengguna utama saat Anda membuat kunci KMS. Anda juga dapat mengedit daftar dengan tampilan default konsol tersebut untuk kebijakan kunci, seperti yang ditunjukkan pada gambar berikut. Tampilan default untuk kebijakan kunci pada halaman detail kunci. Untuk informasi selengkapnya tentang mengizinkan pengguna lain Akun AWS menggunakan kunci KMS, lihatMemungkinkan pengguna di akun lain untuk menggunakan kunci KMS.
catatan
Praktik terbaik IAM mencegah penggunaan pengguna IAM dengan kredensil jangka panjang. Bila memungkinkan, gunakan peran IAM, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
Pernyataan pengguna kunci default untuk simetris Single-region memungkinkan izin berikut. Untuk informasi rinci tentang setiap izin, lihatAWS KMS izin.
Saat Anda menggunakan AWS KMS konsol untuk membuat kunci KMS, konsol menambahkan pengguna dan peran yang Anda tentukan ke Principal elemen di setiap pernyataan pengguna kunci.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Memungkinkan pengguna kunci untuk menggunakan kunci KMS untuk operasi kriptografi
Pengguna kunci memiliki izin untuk menggunakan kunci KMS secara langsung di semua operasi kriptografi yang didukung pada kunci KMS. Mereka juga dapat menggunakan DescribeKeyoperasi untuk mendapatkan informasi rinci tentang kunci KMS di AWS KMS konsol atau dengan menggunakan operasi AWS KMS API.
Secara default, AWS KMS konsol menambahkan pernyataan pengguna kunci seperti yang ada dalam contoh berikut ke kebijakan kunci default. Karena mereka mendukung operasi API yang berbeda, tindakan dalam pernyataan kebijakan untuk kunci KMS enkripsi simetris, kunci KMS HMAC, kunci KMS asimetris untuk enkripsi kunci publik, dan kunci KMS asimetris untuk penandatanganan dan verifikasi sedikit berbeda.
- Kunci KMS enkripsi simetris
-
Konsol menambahkan pernyataan berikut ke kebijakan kunci untuk kunci KMS enkripsi simetris.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" } - Kunci HMAC KMS
-
Konsol menambahkan pernyataan berikut ke kebijakan kunci untuk kunci HMAC KMS.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GenerateMac", "kms:VerifyMac" ], "Resource": "*" } - Kunci KMS asimetris untuk enkripsi kunci publik
-
Konsol menambahkan pernyataan berikut ke kebijakan kunci untuk kunci KMS asimetris dengan penggunaan kunci Enkripsi dan dekripsi.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" } - Kunci KMS asimetris untuk penandatanganan dan verifikasi
-
Konsol menambahkan pernyataan berikut ke kebijakan kunci untuk kunci KMS asimetris dengan penggunaan kunci Tanda dan verifikasi.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" } - Kunci KMS asimetris untuk mendapatkan rahasia bersama
-
Konsol menambahkan pernyataan berikut ke kebijakan kunci untuk kunci KMS asimetris dengan penggunaan kunci perjanjian Kunci.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:DeriveSharedSecret" ], "Resource": "*" }
Tindakan dalam pernyataan ini memberi pengguna kunci izin berikut.
kms:Encrypt-
Memungkinkan pengguna kunci untuk mengenkripsi data dengan kunci KMS ini.
kms:Decrypt-
Memungkinkan pengguna kunci untuk mendekripsi data dengan kunci KMS ini.
kms:DeriveSharedSecret-
Memungkinkan pengguna kunci untuk mendapatkan rahasia bersama dengan kunci KMS ini.
kms:DescribeKey-
Memungkinkan pengguna kunci untuk mendapatkan informasi rinci tentang kunci KMS ini termasuk pengenal, tanggal pembuatan, dan status kunci. Ini juga memungkinkan pengguna kunci untuk menampilkan detail tentang kunci KMS di AWS KMS konsol.
kms:GenerateDataKey*-
Memungkinkan pengguna kunci untuk meminta kunci data simetris atau symmetric data key pair untuk operasi kriptografi sisi klien. Konsol menggunakan karakter wildcard * untuk mewakili izin untuk operasi API berikut: GenerateDataKey,, GenerateDataKeyWithoutPlaintextGenerateDataKeyPair, dan GenerateDataKeyPairWithoutPlaintext. Izin ini hanya berlaku pada kunci KMS simetris yang mengenkripsi kunci data.
- km: GenerateMac
-
Memungkinkan pengguna kunci untuk menggunakan kunci HMAC KMS untuk menghasilkan tag HMAC.
- km: GetPublicKey
-
Memungkinkan pengguna kunci untuk mengunduh kunci publik dari kunci KMS asimetris. Pihak dengan siapa Anda berbagi kunci publik ini dapat mengenkripsi data di luar. AWS KMS Namun, ciphertext tersebut dapat didekripsi hanya dengan memanggil operasi Dekripsi di AWS KMS.
- km: * ReEncrypt
-
Memungkinkan pengguna kunci untuk mengenkripsi ulang data yang awalnya dienkripsi dengan kunci KMS ini, atau menggunakan kunci KMS ini untuk mengenkripsi ulang data yang sebelumnya dienkripsi. ReEncryptOperasi ini membutuhkan akses ke kunci KMS sumber dan tujuan. Untuk mencapai ini, Anda dapat mengizinkan
kms:ReEncryptFromizin pada kunci KMS sumber dankms:ReEncryptToizin pada kunci KMS tujuan. Namun, untuk kesederhanaan, konsol memungkinkankms:ReEncrypt*(dengan karakter*wildcard) pada kedua tombol KMS. - KMS: Tanda
-
Memungkinkan pengguna kunci untuk menandatangani pesan dengan kunci KMS ini.
- KMS: Verifikasi
-
Memungkinkan pengguna kunci untuk memverifikasi tanda tangan dengan kunci KMS ini.
- km: VerifyMac
-
Memungkinkan pengguna kunci untuk menggunakan kunci HMAC KMS untuk memverifikasi tag HMAC.
Memungkinkan pengguna kunci untuk menggunakan kunci KMS dengan layanan AWS
Kebijakan kunci default di konsol juga memberi pengguna kunci izin hibah yang mereka perlukan untuk melindungi data mereka di AWS layanan yang menggunakan hibah. AWS Layanan sering menggunakan hibah untuk mendapatkan izin khusus dan terbatas untuk menggunakan kunci KMS.
Pernyataan kebijakan kunci ini memungkinkan pengguna kunci untuk membuat, melihat, dan mencabut hibah pada kunci KMS, tetapi hanya jika permintaan operasi hibah berasal dari layanan yang AWS terintegrasi dengannya. AWS KMS
Pengguna kunci memerlukan izin hibah ini untuk menggunakan kunci KMS mereka dengan layanan terintegrasi, tetapi izin ini tidak cukup. Pengguna kunci juga memerlukan izin untuk menggunakan layanan terintegrasi. Untuk detail tentang memberi pengguna akses ke AWS layanan yang terintegrasi dengan AWS KMS, lihat dokumentasi untuk layanan terintegrasi.
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Misalnya, pengguna kunci dapat menggunakan izin ini pada kunci KMS dengan cara berikut.
-
Gunakan kunci KMS ini dengan Amazon Elastic Block Store (Amazon EBS) Block Store (Amazon EBS) dan Amazon Elastic Compute Cloud (Amazon EC2) untuk melampirkan volume EBS terenkripsi ke instans EC2. Pengguna kunci secara implisit memberikan izin Amazon EC2 untuk menggunakan kunci KMS untuk melampirkan volume terenkripsi ke instance. Untuk informasi selengkapnya, lihat Bagaimana Amazon Elastic Block Store (Amazon EBS) menggunakan AWS KMS.
-
Gunakan kunci KMS ini dengan Amazon Redshift untuk meluncurkan cluster terenkripsi. Pengguna kunci secara implisit memberikan izin Amazon Redshift untuk menggunakan kunci KMS untuk meluncurkan cluster terenkripsi dan membuat snapshot terenkripsi. Untuk informasi selengkapnya, lihat Bagaimana Amazon Redshift menggunakan AWS KMS.
-
Gunakan kunci KMS ini dengan AWS layanan lain AWS KMS yang terintegrasi dengan hibah penggunaan untuk membuat, mengelola, atau menggunakan sumber daya terenkripsi dengan layanan tersebut.
Kebijakan kunci default memungkinkan pengguna kunci untuk mendelegasikan izin hibah mereka ke semua layanan terintegrasi yang menggunakan hibah. Namun, Anda dapat membuat kebijakan kunci khusus yang membatasi izin ke AWS layanan tertentu. Untuk informasi selengkapnya, lihat kunci syarat km: ViaService.
