本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS KMS 許可
<a name="kms-api-permissions-reference"></a>

此資料表旨在協助您了解 AWS KMS 許可，以便控制對 AWS KMS 資源的存取。欄標題的定義顯示在表格下方。

您也可以在*服務授權參考*主題[的動作、資源和條件索引鍵 AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)中了解 AWS KMS 許可。然而，該主題不會列出您可以用於細化每個許可的所有條件金鑰。

如需哪些 AWS KMS 操作對對稱加密 KMS 金鑰、非對稱 KMS 金鑰和 HMAC KMS 金鑰有效的詳細資訊，請參閱 [金鑰類型參考](symm-asymm-compare.md)。

**注意**  
您可能需要水平或垂直捲動，才能查看資料表中的所有資料。

<a name="kms-api-permissions-reference-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/kms-api-permissions-reference.html)

## 資料欄描述
<a name="permissions-column-descriptions"></a>

此資料表中的資料欄提供下列資訊：
+ **動作和許可**會列出每個 AWS KMS API 操作，以及允許操作的許可。您可以在政策陳述式的 `Action` 元素中指定操作。
+ **政策類型**指出許可可用於金鑰政策還是 IAM 政策。

  *金鑰政策*表示您可以在金鑰政策中指定許可。當金鑰政策包含[啟用 IAM 政策的政策陳述式](key-policy-default.md#key-policy-default-allow-root-enable-iam)時，您可以在 IAM 政策中指定許可。

  *IAM 政策*表示您只能在 IAM 政策中指定許可。
+ **跨帳戶使用**顯示授權使用者可以對不同 AWS 帳戶中資源執行的操作。

  值為*是*表示主體可以對不同 AWS 帳戶中的資源執行操作。

  值為*否*表示主體僅可對其自己 AWS 帳戶中的資源執行操作。

  如果您為不同帳戶中的主體授予無法在跨帳戶資源上使用的許可，則許可無效。例如，如果您為不同帳戶的主體提供您帳戶中 KMS 金鑰的 [kms:TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) 許可，則其在您帳戶中標記 KMS 金鑰的嘗試將會失敗。
+ **資源**列出許可適用的 AWS KMS 資源。 AWS KMS 支援兩種資源類型：KMS 金鑰和別名。在金鑰政策中，`Resource` 元素的值永遠是 `*`，這指的是 KMS 金鑰所連接的金鑰政策。

  使用下列值來代表 IAM 政策中的 AWS KMS 資源。  
**KMS 金鑰**  
當資源為 KMS 金鑰時，請使用其[金鑰 ARN](concepts.md#key-id-key-ARN)。如需協助，請參閱 [尋找金鑰 ID 和金鑰 ARN](find-cmk-id-arn.md)。  
`arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID`  
例如：  
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab  
**Alias (別名)**  
當資源為別名時，請使用其[別名 ARN](concepts.md#key-id-alias-ARN)。如需協助，請參閱 [尋找 KMS 金鑰的別名名稱和別名 ARN](alias-view.md)。  
`arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name`  
例如：  
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias  
**`*` (星號)**  
當許可不適用於特定資源 (KMS 金鑰或別名) 時，請使用星號 (`*`)。  
在 AWS KMS 許可的 IAM 政策中， `Resource`元素中的星號表示所有 AWS KMS 資源 (KMS 金鑰和別名）。當 AWS KMS 許可不適用於任何特定 KMS 金鑰或別名時，您也可以在 `Resource`元素中使用星號。例如，允許或拒絕 `kms:CreateKey`或 `kms:ListKeys`許可時，您必須將 `Resource`元素設定為 `*`。
+ **AWS KMS 條件索引**鍵列出您可以用來控制操作存取 AWS KMS 的條件索引鍵。您可以在政策的 `Condition` 元素中指定條件。如需詳細資訊，請參閱[AWS KMS 條件索引鍵](conditions-kms.md)。此欄也包含 支援的[AWS 全域條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) AWS KMS，但並非所有 服務都 AWS 支援。