Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

AWS KMS autorizzazioni

PDF
RSS
Modalità Focus
AWS KMS autorizzazioni - AWS Key Management Service
Descrizioni delle colonne

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questa tabella è progettata per aiutarti a comprendere AWS KMS le autorizzazioni in modo da poter controllare l'accesso alle tue risorse. AWS KMS Le definizioni delle intestazioni di colonna vengono visualizzate sotto la tabella.

Per ulteriori informazioni sulle AWS KMS autorizzazioni, consulta la sezione Azioni, risorse e chiavi di condizione relativa all' AWS Key Management Service argomento del Service Authorization Reference. Tuttavia, questo argomento non riporta tutte le chiavi di condizione che possono essere utilizzate per rifinire ogni autorizzazione.

Per ulteriori informazioni su quali AWS KMS operazioni sono valide per le chiavi KMS con crittografia simmetrica, le chiavi KMS asimmetriche e le chiavi KMS HMAC, consulta la. Documentazione di riferimento dei tipi di chiave

Nota

Potrebbe essere necessario scorrere orizzontalmente o verticalmente per visualizzare tutti i dati della tabella.

Azioni e autorizzazioni Tipo di policy Utilizzo per più account Risorse (per policy IAM) AWS KMS chiavi di condizione

CancelKeyDeletion

kms:CancelKeyDeletion

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
ConnectCustomKeyStore

kms:ConnectCustomKeyStore

 Policy IAM No

*

km: CallerAccount

CreateAlias

kms:CreateAlias

Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione kms:CreateAlias su due risorse:

  • L'alias (in una policy IAM)

  • La chiave KMS (in una policy chiave)

Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.

Policy IAM (per l'alias)

 No

Alias

 Nessuna (in caso di controllo dell'accesso all'alias)

Policy chiave (per la chiave KMS)

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
CreateCustomKeyStore

kms:CreateCustomKeyStore

 Policy IAM No

*

km: CallerAccount

CreateGrant

kms:CreateGrant

Policy della chiave

Chiave KMS

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni di concessione:

km: GrantConstraintType

km: GranteePrincipal

km: GrantIsFor AWSResource

km: GrantOperations

km: RetiringPrincipal

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

CreateKey

kms:CreateKey

Policy IAM

 No

*

km: BypassPolicyLockoutSafetyCheck

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ViaService

aws:RequestTag/tag-key (chiave di condizione AWS globale)

aws:ResourceTag/tag-key (chiave di condizione globale)AWS

aws: TagKeys (chiave di condizione AWS globale)

Decrypt

kms:Decrypt

Policy della chiave

Chiave KMS

Condizioni per le operazioni di crittografia

km: EncryptionAlgorithm

km: RequestAlias

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

DeleteAlias

kms:DeleteAlias

Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione kms:DeleteAlias su due risorse:

  • L'alias (in una policy IAM)

  • La chiave KMS (in una policy chiave)

Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.

Policy IAM (per l'alias)

 No

Alias

 Nessuna (in caso di controllo dell'accesso all'alias)

Policy chiave (per la chiave KMS)

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
DeleteCustomKeyStore

kms:DeleteCustomKeyStore

 Policy IAM No

*

km: CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
DeriveSharedSecret

kms:DeriveSharedSecret

 Policy della chiave Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Condizioni per le operazioni di crittografia:

km: KeyAgreementAlgorithm
DescribeCustomKeyStores

kms:DescribeCustomKeyStores

 Policy IAM No

*

km: CallerAccount

DescribeKey

kms:DescribeKey

Policy della chiave

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: RequestAlias

DisableKey

kms:DisableKey

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

DisableKeyRotation

kms:DisableKeyRotation

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

 Policy IAM No

*

km: CallerAccount

EnableKey

kms:EnableKey

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

EnableKeyRotation

kms:EnableKeyRotation

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Condizioni di rotazione automatica dei tasti:

km: RotationPeriodInDays

Encrypt

kms:Encrypt

Policy della chiave

Chiave KMS

Condizioni per le operazioni di crittografia

km: EncryptionAlgorithm

km: RequestAlias

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

GenerateDataKey

kms:GenerateDataKey

Policy della chiave

Chiave KMS

Condizioni per le operazioni di crittografia

km: EncryptionAlgorithm

km: RequestAlias

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

Policy della chiave

Chiave KMS

Genera coppie di chiavi di dati asimmetriche protette da una chiave KMS di crittografia simmetrica.

Condizioni per coppie di chiavi di dati:

km: DataKeyPairSpec

Condizioni per le operazioni di crittografia

km: EncryptionAlgorithm

km: RequestAlias

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

Policy della chiave

Chiave KMS

Genera coppie di chiavi di dati asimmetriche protette da una chiave KMS di crittografia simmetrica.

Condizioni per coppie di chiavi di dati:

km: DataKeyPairSpec

Condizioni per le operazioni di crittografia

km: EncryptionAlgorithm

km: RequestAlias

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

Policy della chiave

Chiave KMS

Condizioni per le operazioni di crittografia

km: EncryptionAlgorithm

km: RequestAlias

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
GenerateMac

kms:GenerateMac

 Policy della chiave Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Condizioni per le operazioni di crittografia:

km: MacAlgorithm

km: RequestAlias

GenerateRandom

kms:GenerateRandom

Policy IAM

 N/D

*

 Nessuno

GetKeyPolicy

kms:GetKeyPolicy

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

Policy della chiave

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

GetParametersForImport

kms:GetParametersForImport

Policy della chiave

 No

Chiave KMS

km: WrappingAlgorithm

km: WrappingKeySpec

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

GetPublicKey

kms:GetPublicKey

Policy della chiave

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: ExpirationModel

km: ValidTo

ListAliases

kms:ListAliases

Policy IAM

 No

*

 Nessuno

ListGrants

kms:ListGrants

Policy della chiave

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: GrantIsFor AWSResource

ListKeyPolicies

kms:ListKeyPolicies

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

ListKeyRotations

kms:ListKeyRotations

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

ListKeys

kms:ListKeys

Policy IAM

 No

*

 Nessuno

ListResourceTags

kms:ListResourceTags

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

ListRetirableGrants

kms:ListRetirableGrants

Policy IAM

 L'entità principale specificata deve trovarsi nell'account locale, ma l'operazione restituisce concessioni in tutti gli account.

*

 Nessuno

PutKeyPolicy

kms:PutKeyPolicy

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione per due chiavi KMS:

  • kms:ReEncryptFrom sulla chiave KMS usata per la decrittografia

  • kms:ReEncryptTo sulla chiave KMS utilizzata per la crittografia

Policy della chiave

Chiave KMS

Condizioni per le operazioni di crittografia

km: EncryptionAlgorithm

km: RequestAlias

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

Per utilizzare questa operazione, il chiamante necessita delle seguenti autorizzazioni:

  • kms:ReplicateKey sulla chiave primaria multiregione

  • kms:CreateKey in una policy IAM nella Regione di replica

Policy della chiave

No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: ReplicaRegion

RetireGrant

kms:RetireGrant

L'autorizzazione per ritirare una concessione è determinata principalmente dalla concessione. Una policy da sola non può consentire l'accesso a questa operazione. Per ulteriori informazioni, consulta Ritirare e revocare le concessioni.

Policy IAM

Questa autorizzazione non è valida in una policy chiave.

Chiave KMS

Condizioni per il contesto di crittografia:

kms:: chiave contestuale EncryptionContext

km: EncryptionContextKeys

Condizioni di concessione:

km: GrantConstraintType

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

RevokeGrant

kms:RevokeGrant

Policy della chiave

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: GrantIsFor AWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Sign

kms:Sign

Policy della chiave

Chiave KMS

Condizioni per la firma e la verifica:

km: MessageType

km: RequestAlias

km: SigningAlgorithm

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

TagResource

kms:TagResource

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Condizioni per l'assegnazione di tag:

aws:RequestTag/tag-key (chiave di condizione AWS globale)

aws: TagKeys (chiave di condizione AWS globale)

UntagResource

kms:UntagResource

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Condizioni per l'assegnazione di tag:

aws:RequestTag/tag-key (chiave di condizione AWS globale)

aws: TagKeys (chiave di condizione AWS globale)

UpdateAlias

kms:UpdateAlias

Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione kms:UpdateAlias su tre risorse:

  • L'alias

  • La chiave KMS attualmente associata

  • La chiave KMS appena associata

Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.

Policy IAM (per l'alias)

 No

Alias

 Nessuna (in caso di controllo dell'accesso all'alias)

Policy chiave (per le chiavi KMS)

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
UpdateCustomKeyStore

kms:UpdateCustomKeyStore

 Policy IAM No

*

km: CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione kms:UpdatePrimaryRegionsulla chiave primaria multiregione, che diventerà una chiave di replica, e sulla chiave di replica multiregione che diventerà la chiave primaria.

Policy della chiave

 No

Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Altre condizioni:

km: PrimaryRegion

Verify

kms:Verify

Policy della chiave

Chiave KMS

Condizioni per la firma e la verifica:

km: MessageType

km: RequestAlias

km: SigningAlgorithm

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService
VerifyMac

kms:VerifyMac

 Policy della chiave Chiave KMS

Condizioni per le operazioni delle chiavi KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (chiave di condizione AWS globale)

km: ViaService

Condizioni per le operazioni di crittografia:

km: MacAlgorithm

km: RequestAlias

Descrizioni delle colonne

Le colonne nella tabella forniscono le seguenti informazioni:

  • Azioni e autorizzazioni elenca ogni operazione AWS KMS API e l'autorizzazione che consente l'operazione. È possibile specificare l'operazione nell'elemento Action di un'istruzione di policy.

  • Tipo di policy indica se l'autorizzazione può essere utilizzata in una policy chiave o in una policy IAM.

    Policy chiave significa che puoi specificare l'autorizzazione nella policy chiave. Quando la policy chiave contiene l'istruzione di policy che consente policy IAM, puoi specificare l'autorizzazione in una policy IAM.

    Policy IAM significa che puoi specificare l'autorizzazione solo in una policy IAM.

  • Utilizzo tra account mostra le operazioni che gli utenti autorizzati possono eseguire sulle risorse in un Account AWS diverso.

    Un valore di significa che le entità principali possono eseguire l'operazione sulle risorse in un Account AWS diverso.

    Un valore di No significa che le entità principali possono eseguire l'operazione solo sulle risorse nel proprio Account AWS.

    Se si concede a un'entità in un account diverso un'autorizzazione che non può essere utilizzata su una risorsa tra account, l'autorizzazione non è valida. Ad esempio, se concedi a un responsabile di un altro account kms: l'TagResourceautorizzazione a utilizzare una chiave KMS nel tuo account, i suoi tentativi di taggare la chiave KMS nel tuo account falliranno.

  • Resources elenca le AWS KMS risorse a cui si applicano le autorizzazioni. AWS KMS supporta due tipi di risorse: una chiave KMS e un alias. In una policy delle chiavi, il valore dell'elemento Resource è sempre *, che indica la chiave KMS collegata alla policy delle chiavi.

    Utilizza i seguenti valori per rappresentare una AWS KMS risorsa in una policy IAM.

    Chiave KMS

    Quando la risorsa è una chiave KMS utilizza l'ARN chiave. Per assistenza, consulta Trova l'ID della chiave e l'ARN della chiave.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    Per esempio:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Alias

    Quando la risorsa è un alias, utilizza l'ARN dell'alias. Per assistenza, consulta Trova il nome dell'alias e l'alias ARN per una chiave KMS.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    Per esempio:

    arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

    * (asterisco)

    Quando l'autorizzazione non si applica a una determinata risorsa (chiave KMS o alias) utilizza un asterisco (*).

    In una policy IAM per un' AWS KMS autorizzazione, un asterisco nell'elemento indica tutte le risorse (chiavi e alias KMS). Resource AWS KMS Puoi anche utilizzare un asterisco nell'Resourceelemento quando l' AWS KMS autorizzazione non si applica a particolari chiavi o alias KMS. Ad esempio, quando si consente o si kms:CreateKey nega l'kms:ListKeysautorizzazione, è necessario impostare l'elemento su. Resource *

  • AWS KMS condition keys elenca le chiavi di AWS KMS condizione che è possibile utilizzare per controllare l'accesso all'operazione. Puoi specificare condizioni nell'elemento Condition di una policy. Per ulteriori informazioni, consulta AWS KMS chiavi di condizione. Questa colonna include anche le chiavi di condizione AWS globali supportate da AWS KMS, ma non da tutti i AWS servizi.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.