AWS KMS autorizzazioni

Questa tabella è progettata per aiutarti a comprendere AWS KMS le autorizzazioni in modo da poter controllare l'accesso alle tue risorse. AWS KMS Le definizioni delle intestazioni di colonna vengono visualizzate sotto la tabella.

Per ulteriori informazioni sulle AWS KMS autorizzazioni, consulta la sezione Azioni, risorse e chiavi di condizione relativa all' AWS Key Management Service argomento del Service Authorization Reference. Tuttavia, questo argomento non riporta tutte le chiavi di condizione che possono essere utilizzate per rifinire ogni autorizzazione.

Per ulteriori informazioni su quali AWS KMS operazioni sono valide per le chiavi di crittografia simmetriche, KMS le chiavi asimmetriche e le KMS chiavi, consulta la. HMAC KMS Documentazione di riferimento dei tipi di chiave

Nota

Potrebbe essere necessario scorrere orizzontalmente o verticalmente per visualizzare tutti i dati della tabella.

Azioni e autorizzazioni	Tipo di policy	Utilizzo per più account	Risorse (per policy IAM)	AWS KMS chiavi di condizione
CancelKeyDeletion `kms:CancelKeyDeletion`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAMpolitica	No	`*`	km: CallerAccount
CreateAlias `kms:CreateAlias` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:CreateAlias` su due risorse: L'alias (in una IAM politica) La KMS chiave (in una politica chiave) Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.	Policy IAM (per l'alias)	No	Alias	Nessuna (in caso di controllo dell'accesso all'alias)
	Politica chiave (per la KMS chiave)	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAMpolitica	No	`*`	km: CallerAccount
CreateGrant `kms:CreateGrant`	Policy della chiave	Sì	KMSchiave	Condizioni per il contesto di crittografia: kms:EncryptionContext: chiave contestuale km: EncryptionContextKeys Condizioni di concessione: km: GrantConstraintType km: GranteePrincipal km: GrantIsFor AWSResource km: GrantOperations km: RetiringPrincipal Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
CreateKey `kms:CreateKey`	IAMpolitica	No	`*`	km: BypassPolicyLockoutSafetyCheck km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ViaService aws:RequestTag/tag-key (chiave di condizione AWS globale) aws:ResourceTag/tag-key (chiave di condizione globale)AWS aws: TagKeys (chiave di condizione AWS globale)
Decrypt `kms:Decrypt`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DeleteAlias `kms:DeleteAlias` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:DeleteAlias` su due risorse: L'alias (in una IAM politica) La KMS chiave (in una politica chiave) Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.	Policy IAM (per l'alias)	No	Alias	Nessuna (in caso di controllo dell'accesso all'alias)
	Politica chiave (per la KMS chiave)	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAMpolitica	No	`*`	km: CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DedriveSharedSecret `kms:DeriveSharedSecret`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per le operazioni di crittografia: km: KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAMpolitica	No	`*`	km: CallerAccount
DescribeKey `kms:DescribeKey`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: RequestAlias
DisableKey `kms:DisableKey`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAMpolitica	No	`*`	km: CallerAccount
EnableKey `kms:EnableKey`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni di rotazione automatica dei tasti: km: RotationPeriodInDays
Encrypt `kms:Encrypt`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKey `kms:GenerateDataKey`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Policy della chiave	Sì	KMSchiave Genera una coppia di chiavi dati asimmetriche protetta da una chiave di crittografia simmetrica. KMS	Condizioni per coppie di chiavi di dati: km: DataKeyPairSpec Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Policy della chiave	Sì	KMSchiave Genera una coppia di chiavi dati asimmetriche protetta da una chiave di crittografia simmetrica. KMS	Condizioni per coppie di chiavi di dati: km: DataKeyPairSpec Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GenerateMac `kms:GenerateMac`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per le operazioni di crittografia: km: MacAlgorithm km: RequestAlias
GenerateRandom `kms:GenerateRandom`	IAMpolitica	N/D	`*`	Nessuno
GetKeyPolicy `kms:GetKeyPolicy`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GetParametersForImport `kms:GetParametersForImport`	Policy della chiave	No	KMSchiave	km: WrappingAlgorithm km: WrappingKeySpec Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
GetPublicKey `kms:GetPublicKey`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: ExpirationModel km: ValidTo
ListAliases `kms:ListAliases`	IAMpolitica	No	`*`	Nessuno
ListGrants `kms:ListGrants`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ListKeyRotations `kms:ListKeyRotations`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ListKeys `kms:ListKeys`	IAMpolitica	No	`*`	Nessuno
ListResourceTags `kms:ListResourceTags`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAMpolitica	L'entità principale specificata deve trovarsi nell'account locale, ma l'operazione restituisce concessioni in tutti gli account.	`*`	Nessuno
PutKeyPolicy `kms:PutKeyPolicy`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione su due tasti: KMS `kms:ReEncryptFrom`sulla KMS chiave usata per decriptare `kms:ReEncryptTo`sulla KMS chiave usata per cifrare	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni di crittografia km: EncryptionAlgorithm km: RequestAlias Condizioni per il contesto di crittografia: kms:: chiave contestuale EncryptionContext km: EncryptionContextKeys Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Per utilizzare questa operazione, il chiamante necessita delle seguenti autorizzazioni: `kms:ReplicateKey` sulla chiave primaria multiregione `kms:CreateKey`in una IAM politica nella regione di replica	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: ReplicaRegion
RetireGrant `kms:RetireGrant` L'autorizzazione per ritirare una concessione è determinata principalmente dalla concessione. Una policy da sola non può consentire l'accesso a questa operazione. Per ulteriori informazioni, consulta Ritirare e revocare le concessioni.	IAMpolitica Questa autorizzazione non è valida in una policy chiave.	Sì	KMSchiave	Condizioni per il contesto di crittografia: kms:EncryptionContext: chiave contestuale km: EncryptionContextKeys Condizioni di concessione: km: GrantConstraintType Condizioni per le operazioni KMS chiave: km: CallerAccount km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
RevokeGrant `kms:RevokeGrant`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: GrantIsFor AWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
Sign `kms:Sign`	Policy della chiave	Sì	KMSchiave	Condizioni per la firma e la verifica: km: MessageType km: RequestAlias km: SigningAlgorithm Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
TagResource `kms:TagResource`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per l'assegnazione di tag: aws:RequestTag/tag-key (chiave di condizione AWS globale) aws: TagKeys (chiave di condizione AWS globale)
UntagResource `kms:UntagResource`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per l'assegnazione di tag: aws:RequestTag/tag-key (chiave di condizione AWS globale) aws: TagKeys (chiave di condizione AWS globale)
UpdateAlias `kms:UpdateAlias` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:UpdateAlias` su tre risorse: L'alias La KMS chiave attualmente associata La nuova KMS chiave associata Per informazioni dettagliate, consultare Controllo dell'accesso agli alias.	Policy IAM (per l'alias)	No	Alias	Nessuna (in caso di controllo dell'accesso all'alias)
	Politica chiave (per le KMS chiavi)	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAMpolitica	No	`*`	km: CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Per utilizzare questa operazione, il chiamante necessita dell'autorizzazione `kms:UpdatePrimaryRegion`sulla chiave primaria multiregione, che diventerà una chiave di replica, e sulla chiave di replica multiregione che diventerà la chiave primaria.	Policy della chiave	No	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Altre condizioni: km: PrimaryRegion
Verify `kms:Verify`	Policy della chiave	Sì	KMSchiave	Condizioni per la firma e la verifica: km: MessageType km: RequestAlias km: SigningAlgorithm Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService
VerifyMac `kms:VerifyMac`	Policy della chiave	Sì	KMSchiave	Condizioni per le operazioni KMS chiave: km: CallerAccount km: KeySpec km: KeyUsage km: KeyOrigin km: MultiRegion km: MultiRegionKeyType km: ResourceAliases aws:ResourceTag/tag-key (chiave di condizione AWS globale) km: ViaService Condizioni per le operazioni di crittografia: km: MacAlgorithm km: RequestAlias

Descrizioni delle colonne

Le colonne nella tabella forniscono le seguenti informazioni:

Azioni e autorizzazioni elenca ogni AWS KMS API operazione e l'autorizzazione che consente l'operazione. È possibile specificare l'operazione nell'elemento Action di un'istruzione di policy.
Il tipo di criterio indica se l'autorizzazione può essere utilizzata in una politica o IAM in una politica chiave.

Policy chiave significa che puoi specificare l'autorizzazione nella policy chiave. Quando la politica chiave contiene l'informativa che abilita IAM le politiche, è possibile specificare l'autorizzazione in una IAM politica.

IAMpolitica significa che è possibile specificare l'autorizzazione solo in una IAM politica.
Utilizzo tra account mostra le operazioni che gli utenti autorizzati possono eseguire sulle risorse in un Account AWS diverso.

Un valore di Sì significa che le entità principali possono eseguire l'operazione sulle risorse in un Account AWS diverso.

Un valore di No significa che le entità principali possono eseguire l'operazione solo sulle risorse nel proprio Account AWS.

Se si concede a un'entità in un account diverso un'autorizzazione che non può essere utilizzata su una risorsa tra account, l'autorizzazione non è valida. Ad esempio, se concedi a un titolare di un altro account kms: l'TagResourceautorizzazione a utilizzare una KMS chiave del tuo account, i suoi tentativi di etichettare la KMS chiave nel tuo account falliranno.
Resources elenca le AWS KMS risorse a cui si applicano le autorizzazioni. AWS KMS supporta due tipi di risorse: una KMS chiave e un alias. In una politica chiave, il valore dell'Resourceelemento è sempre*, il che indica la KMS chiave a cui è associata la politica chiave.

Utilizzate i seguenti valori per rappresentare una AWS KMS risorsa in una IAM politica.

KMSchiave

Quando la risorsa è una KMS chiave, usa la sua chiave ARN. Per assistenza, consulta Trova l'ID e la chiave della chiave ARN.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Per esempio:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Se la risorsa è un alias, usa il suo alias ARN. Per assistenza, consulta Trova il nome dell'alias e l'alias ARN per una chiave KMS.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Per esempio:

arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

* (asterisco)

Quando l'autorizzazione non si applica a una particolare risorsa (chiave o alias), usa un asterisco (). KMS *

In una IAM politica per un' AWS KMS autorizzazione, un asterisco nell'Resourceelemento indica tutte le AWS KMS risorse (KMSchiavi e alias). È inoltre possibile utilizzare un asterisco nell'Resourceelemento quando l' AWS KMS autorizzazione non si applica a KMS chiavi o alias particolari. Ad esempio, quando si consente o si kms:CreateKey nega kms:ListKeys l'autorizzazione, è necessario impostare l'Resourceelemento su. *
AWS KMS condition keys elenca le chiavi di AWS KMS condizione che è possibile utilizzare per controllare l'accesso all'operazione. Puoi specificare condizioni nell'elemento Condition di una policy. Per ulteriori informazioni, consulta AWS KMS chiavi di condizione. Questa colonna include anche le chiavi di condizione AWS globali supportate da AWS KMS, ma non da tutti i AWS servizi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riferimento alle specifiche chiave

AWS KMS operazioni interne