中的金鑰政策 AWS KMS

金鑰政策是 的資源政策 AWS KMS key。金鑰政策是控制KMS金鑰存取的主要方式。每個KMS金鑰必須只有一個金鑰政策。金鑰政策中的陳述式會決定誰擁有使用KMS金鑰的許可，以及他們可以如何使用金鑰。您也可以使用IAM政策和授予來控制對KMS金鑰的存取，但每個KMS金鑰都必須有金鑰政策。

除非KMS在金鑰政策、IAM政策或授予中明確允許且從未拒絕，否則任何 AWS 主體，包括帳戶根使用者或金鑰建立者，都無權存取金鑰。

除非金鑰政策明確允許，否則您不能使用IAM政策來允許存取KMS金鑰。如果沒有金鑰政策的許可，允許許可IAM的政策就不會生效。（您可以使用 IAM政策拒絕 KMS 金鑰的許可，而無需 金鑰政策的許可。） 預設金鑰政策會啟用IAM政策。若要在金鑰IAM政策中啟用政策，請新增 中所述的政策陳述式允許存取 AWS 帳戶 並啟用IAM政策。

與全球IAM政策不同，關鍵政策是區域性政策。金鑰政策只會控制對相同區域中KMS金鑰的存取。它對其他區域中的KMS金鑰沒有影響。