實作最低權限的許可

金鑰存放區管理員負責建立和管理金鑰存放區，以及其持續存在和保護的分支金鑰。金鑰存放區管理員應是唯一具有 Amazon DynamoDB 資料表寫入許可的使用者，該資料表可作為您的金鑰存放區。他們應該是唯一有權存取特殊權限、管理員操作的使用者，例如 CreateKey和 VersionKey。只有在靜態設定金鑰存放區動作 時，才能執行這些操作。

CreateKey 是一項特殊權限操作，可將新KMS金鑰新增至ARN您的金鑰存放區允許清單。此KMS金鑰可以建立新的作用中分支金鑰。我們建議您限制對此操作的存取，因為一旦將KMS金鑰新增至分支金鑰存放區，就無法刪除該金鑰。

在大多數使用案例中，金鑰存放區使用者只會在加密、解密、簽署和驗證資料時，透過階層式金鑰控制與金鑰存放區互動。因此，他們只需要作為您金鑰存放區的 Amazon DynamoDB 資料表的讀取許可。金鑰存放區使用者只需要存取使密碼編譯操作成為可能的使用操作，例如 GetBranchKeyVersion、 GetActiveBranchKey和 GetBeaconKey。他們不需要許可來建立或管理他們使用的分支金鑰。

您可以在靜態設定 金鑰存放區動作，或為探索設定 時，執行用量操作。當您的金鑰存放區動作設定為探索時，無法執行管理員操作 （CreateKey 和 VersionKey）。

如果您的分支金鑰存放區管理員允許在分支金鑰存放區中列出多個KMS金鑰，建議您的金鑰存放區使用者設定其金鑰存放區動作以進行探索，以便其階層式金鑰控制可以使用多個KMS金鑰。