本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 金鑰政策中 AWS 服務的許可 許多 AWS 服務會使用 AWS KMS keys 來保護他們管理的資源。當服務使用 [AWS 擁有的金鑰](concepts.md#aws-owned-key) 或 [AWS 受管金鑰](concepts.md#aws-managed-key) 時,服務會建立並維護這些 KMS 金鑰的金鑰政策。 但是,當您透過 AWS 服務使用[客戶受管金鑰](concepts.md#customer-mgn-key)時,您需要設定並維護金鑰政策。該金鑰政策必須允許服務具有代表您保護資源所需的最低許可。建議您遵循最低權限原則:僅授予服務所需的許可。您可以藉由了解服務需要哪些權限並使用 [AWS 全域條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)和 [AWS KMS 條件金鑰](policy-conditions.md)來調整許可,有效地完成這個操作。 若要尋找服務對客戶受管金鑰所需的許可,請參閱服務的加密文件。下列清單包含部分 服務文件的連結: + **AWS CloudTrail** 許可 - [設定 CloudTrail 的 AWS KMS 金鑰政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-decrypt) + **Amazon Elastic Block Store** 許可 - [Amazon EC2 使用者指南](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#ebs-encryption-permissions)和 [Amazon EC2 使用者指南](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#ebs-encryption-permissions) + **AWS Lambda** 許可 - [Lambda 的靜態資料加密](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) + **Amazon Q** 許可 - [Amazon Q 的資料加密](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/data-encryption.html) + **Amazon Relational Database Service** 許可 - [AWS KMS 金鑰管理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.Keys.html) + **AWS Secrets Manager** 許可 - [授權使用 KMS 金鑰](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) + **Amazon Simple Queue Service** 許可 - [Amazon SQS 金鑰管理](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)