本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控制对授权的访问
您可以控制对在密钥策略、IAM策略和授权中创建和管理授权的操作的访问权限。从授权中获得 CreateGrant 权限的委托人具有更有限的授权权限。
| API操作 | 关键政策或IAM政策 | 授权 |
|---|---|---|
| CreateGrant | ✓ | ✓ |
| ListGrants | ✓ | - |
| ListRetirableGrants | ✓ | - |
| 停用授权 | (有限。请参阅 停用和撤销授权) | ✓ |
| RevokeGrant | ✓ | - |
当您使用密钥策略或IAM策略来控制对创建和管理授权的操作的访问权限时,可以使用以下一个或多个策略条件来限制权限。 AWS KMS 支持以下所有与 Grant 相关的条件键。有关详细信息和示例,请参阅 AWS KMS 条件键。
- kms: GrantConstraintType
-
允许委托人仅在授权包含指定的授权约束时创建授权。
- kms: GrantIsFor AWSResource
-
RevokeGrant仅当与之集成的 AWS 服务代表委托人 AWS KMS发送请求时,才允许委托人拨打 CreateGrantListGrants、或。 - kms: GrantOperations
-
允许委托人创建授权,但将授权限制为指定操作。
- kms: GranteePrincipal
-
允许委托人仅为指定的被授权者委托人创建授权。
- kms: RetiringPrincipal
-
允许委托人仅在授权指定特定的停用委托人时创建授权。
