本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
金鑰政策是 的資源政策 AWS KMS key。金鑰政策是控制對 KMS 金鑰之存取的主要方式。每個 KMS 金鑰都必須只有一個金鑰政策。金鑰政策中的陳述式決定誰有使用 KMS 金鑰的許可以及可以使用它的方式。您也可以使用 IAM 政策和授予來控制對 KMS 金鑰的存取,但每個 KMS 金鑰都必須有金鑰政策。
除非在金鑰政策、IAM 政策或授予中明確允許且從未拒絕 KMS 金鑰,否則任何 AWS 委託人,包括帳戶根使用者或金鑰建立者,都沒有任何許可。
除非金鑰政策明確允許,否則您不能使用 IAM 政策來允許存取 KMS 金鑰。如果沒有金鑰政策的許可,允許許可的 IAM 政策將不起作用。(您可以使用 IAM 政策,在未經金鑰政策許可的情況下拒絕對 KMS 金鑰的許可。) 預設金鑰政策會啟用 IAM 政策。若要在金鑰政策中啟用 IAM 政策,請新增 允許存取 AWS 帳戶 並啟用 IAM 政策 中所述的政策陳述式。
與全域 IAM 政策不同,金鑰政策是區域性的。金鑰政策僅控制對同一區域中 KMS 金鑰的存取。它對其他區域中的 KMS 金鑰沒有影響。
