本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 关键策略中的 AWS 服务权限 许多 AWS 服务 AWS KMS keys 用来保护其管理的资源。在服务使用 [AWS 拥有的密钥](concepts.md#aws-owned-key) 或 [AWS 托管式密钥](concepts.md#aws-managed-key) 时,该服务会为这些 KMS 密钥建立和维护密钥策略。 但是,当您通过 AWS 服务使用[客户托管式密钥](concepts.md#customer-mgn-key)时,您可以设置并维护密钥策略。该密钥策略必须允许服务具有代表您保护资源所需的最低权限。建议您遵循最低权限原则:仅授予服务所需的权限。您可以通过了解服务需要哪些权限,并使用 [AWS 全局条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)和 [AWS KMS 条件键](policy-conditions.md)来优化权限,以有效做到这一点。 要查找服务在客户托管式密钥上需要的权限,请参阅该服务的加密文档。以下列表包含一些服务文档的链接: + **AWS CloudTrail**权限-[为配置 AWS KMS 密钥策略 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-decrypt) + **Amazon Elastic Block Store** 权限:[Amazon EC2 用户指南](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#ebs-encryption-permissions)和 [Amazon EC2 用户指南](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#ebs-encryption-permissions) + **AWS Lambda** 权限:[Lambda 的静态数据加密](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) + **Amazon Q** 权限:[Data encryption for Amazon Q](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/data-encryption.html) + **Amazon Relational Database Service** 权限:[AWS KMS 密钥管理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.Keys.html) + **AWS Secrets Manager** 权限:[Authorizing use of the KMS key](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) + **Amazon Simple Queue Service** 权限:[Amazon SQS Key management](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)