本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS KMS 权限
<a name="kms-api-permissions-reference"></a>

此表旨在帮助您了解 AWS KMS 权限，以便您可以控制对 AWS KMS 资源的访问权限。表格下方会显示列标题的定义。

您还可以在*服务授权参考 AWS Key Management Service*主题的[操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)中了解 AWS KMS 权限。但是，该主题并未列出可用于优化每个权限的所有条件键。

有关哪些 AWS KMS 操作对对称加密 KMS 密钥、非对称 KMS 密钥和 HMAC KMS 密钥有效的更多信息，请参阅。[密钥类型引用](symm-asymm-compare.md)

**注意**  
您可能需要水平或垂直滚动才能查看表中的所有数据。

<a name="kms-api-permissions-reference-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/kms-api-permissions-reference.html)

## 列描述
<a name="permissions-column-descriptions"></a>

此表中的各列提供以下信息：
+ **操作和权限**列出了每个 AWS KMS API 操作以及允许该操作的权限。您可以在策略语句的 `Action` 元素中指定操作。
+ **策略类型**指示权限是否可在密钥策略或 IAM policy 中使用。

  *密钥策略*意味着您可以在密钥策略中指定权限。当密钥政策包含[启用 IAM policy 的策略语句](key-policy-default.md#key-policy-default-allow-root-enable-iam)时，您可以在 IAM policy 中指定权限。

  *IAM policy* 意味着您只能在 IAM policy 中指定权限。
+ **跨账户使用**显示了授权用户可以对其他 AWS 账户中的资源执行的操作。

  值 *Yes*（是）表示委托人可以对其他 AWS 账户中的资源执行操作。

  值 *No*（否）表示委托人只能对其自己的 AWS 账户中的资源执行操作。

  如果您为不同账户中的委托人授予一个不能在跨账户资源上使用的权限，则该权限将无效。例如，如果您向其他账户中的委托人授予对您账户中 [K](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) MS 密钥的TagResource权限，则他们尝试在您的账户中标记 KMS 密钥将失败。
+ **资源**列出了权限适用的 AWS KMS 资源。 AWS KMS 支持两种资源类型：KMS 密钥和别名。在密钥策略中，`Resource` 元素的值始终为 `*`，这表示密钥策略附加到的 KMS 密钥。

  使用以下值表示 IAM 策略中的 AWS KMS 资源。  
**KMS 密钥**  
当资源是 KMS 密钥时，请使用其[密钥 ARN](concepts.md#key-id-key-ARN)。有关帮助信息，请参阅 [查找密钥 ID 和密钥 ARN](find-cmk-id-arn.md)。  
`arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID`  
例如：  
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab  
**Alias**  
当资源是别名时，请使用其[别名 ARN](concepts.md#key-id-alias-ARN)。有关帮助信息，请参阅 [查找 KMS 密钥的别名和别名 ARN](alias-view.md)。  
`arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name`  
例如：  
arn: aws: kms: us-west-2:111122223333: alias/ ExampleAlias  
**`*`（星号）**  
当权限不适用于特定资源（KMS 密钥或别名）时，请使用星号 (`*`)。  
在 IAM AWS KMS 权限策略中，`Resource`元素中的星号表示所有 AWS KMS 资源（KMS 密钥和别名）。当 AWS KMS 权限不适用于任何特定的 KMS 密钥或别名时，您也可以在`Resource`元素中使用星号。例如，允许或拒绝 `kms:CreateKey` 或 `kms:ListKeys` 权限时，必须将 `Resource` 元素设置为 `*`。
+ **AWS KMS 条件键**列出了可用于控制对操作的访问的 AWS KMS 条件键。您可以在策略的 `Condition` 元素中指定条件。有关更多信息，请参阅 [AWS KMS 条件键](conditions-kms.md)。此列还包括所有服务都支持但并非所有 AWS 服务都支持的[AWSAWS KMS全局条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。