本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的金鑰政策 AWS KMS
<a name="key-policies"></a>

金鑰政策是 的資源政策 AWS KMS key。金鑰政策是控制對 KMS 金鑰之存取的主要方式。每個 KMS 金鑰都必須只有一個金鑰政策。金鑰政策中的陳述式決定誰有使用 KMS 金鑰的許可以及可以使用它的方式。您也可以使用 [IAM 政策](iam-policies.md)和[授予](grants.md)來控制對 KMS 金鑰的存取，但每個 KMS 金鑰都必須有金鑰政策。

除非在金鑰政策、IAM 政策或授予中明確允許且從未拒絕 KMS 金鑰，否則任何 AWS 委託人，包括帳戶根使用者或金鑰建立者，都沒有任何許可。

除非金鑰政策明確允許，否則您不能使用 IAM 政策來*允許*存取 KMS 金鑰。如果沒有金鑰政策的許可，允許許可的 IAM 政策將不起作用。(您可以使用 IAM 政策，在未經金鑰政策許可的情況下*拒絕*對 KMS 金鑰的許可。) 預設金鑰政策會啟用 IAM 政策。若要在金鑰政策中啟用 IAM 政策，請新增 [允許存取 AWS 帳戶 並啟用 IAM 政策](key-policy-default.md#key-policy-default-allow-root-enable-iam) 中所述的政策陳述式。

與全域 IAM 政策不同，金鑰政策是區域性的。金鑰政策僅控制對同一區域中 KMS 金鑰的存取。它對其他區域中的 KMS 金鑰沒有影響。

**Topics**
+ [建立金鑰政策](key-policy-overview.md)
+ [預設金鑰政策](key-policy-default.md)
+ [檢視金鑰政策](key-policy-viewing.md)
+ [變更金鑰政策](key-policy-modifying.md)
+ [AWS 服務的許可](key-policy-services.md)