AWS 的 受管政策 AWS Key Management Service - AWS Key Management Service
AWS 受管政策: AWSKeyManagementServicePowerUserAWS 受管政策: AWSServiceRoleForKeyManagementServiceCustomKeyStoresAWS 受管政策: AWSServiceRoleForKeyManagementServiceMultiRegionKeysAWS KMS 受 AWS 管政策的更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 的 受管政策 AWS Key Management Service

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的API操作可用於現有 服務時, AWS 很有可能更新受 AWS 管政策。

如需詳細資訊,請參閱IAM IAM 使用者指南中的AWS 受管政策

AWS 受管政策: AWSKeyManagementServicePowerUser

您可將 AWSKeyManagementServicePowerUser 政策連接到 IAM 身分。

您可以使用 AWSKeyManagementServicePowerUser受管政策,為帳戶中的IAM委託人提供超級使用者的許可。進階使用者可以建立KMS金鑰、使用和管理他們建立的KMS金鑰,以及檢視所有KMS金鑰和IAM身分。擁有 AWSKeyManagementServicePowerUser 受管政策的委託人也可以從其他來源取得許可,包括金鑰政策、其他IAM政策和授予。

AWSKeyManagementServicePowerUser 是 AWS 受管IAM政策。如需受 AWS 管政策的詳細資訊,請參閱IAM《 使用者指南》中的受AWS 管政策

注意

此政策中特定於KMS金鑰的許可,例如 kms:TagResourcekms:GetKeyRotationStatus,只有在該KMS金鑰的金鑰政策明確允許 AWS 帳戶 使用IAM政策來控制對金鑰的存取時,才有效。若要判斷許可是否專屬於KMS金鑰,請參閱 資源欄中的 AWS KMS 許可並尋找KMS金鑰值。

此政策會針對任何KMS金鑰提供授權使用者許可,而金鑰政策會允許 操作。對於 kms:DescribeKey和 等跨帳戶許可kms:ListGrants,這可能包含不受信任的KMS金鑰 AWS 帳戶。如需詳細資訊,請參閱 IAM 政策的最佳實務允許其他帳戶中的使用者使用KMS金鑰。若要判斷許可是否對其他帳戶中的KMS金鑰有效,請參閱跨帳戶使用欄中的值AWS KMS 許可

若要允許主體檢視 AWS KMS 主控台而不發生錯誤,主體需要 標籤:GetResources 許可,該許可不包含在AWSKeyManagementServicePowerUser政策中。您可以在個別IAM政策中允許此許可。

AWSKeyManagementServicePowerUser 受管IAM政策包含下列許可。

  • 允許主體建立KMS金鑰。由於此程序包含設定金鑰政策,因此進階使用者可以授予自己和其他人使用和管理自己建立之KMS金鑰的許可。

  • 允許主體在所有KMS金鑰上建立和刪除別名標籤。變更標籤或別名可以允許或拒絕使用和管理KMS金鑰的許可。如需詳細資訊,請參閱 ABAC 適用於 AWS KMS

  • 允許主體取得所有KMS金鑰的詳細資訊,包括其金鑰 ARN、密碼編譯組態、金鑰政策、別名、標籤和輪換狀態

  • 允許主體列出IAM使用者、群組和角色。

  • 此政策不允許主體使用或管理他們未建立的KMS金鑰。不過,他們可以變更所有KMS金鑰上的別名和標籤,這可能會允許或拒絕他們使用或管理KMS金鑰的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策: AWSServiceRoleForKeyManagementServiceCustomKeyStores

您不能將 AWSServiceRoleForKeyManagementServiceCustomKeyStores 連接到 IAM 實體。此政策會連接至服務連結角色,該角色提供 AWS KMS 許可,可檢視與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集,並建立網路以支援自訂金鑰存放區與其 AWS CloudHSM 叢集之間的連線。如需詳細資訊,請參閱授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源

AWS 受管政策: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

您不能將 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 連接到 IAM 實體。此政策會連接到服務連結角色,該角色提供 AWS KMS 許可,將多區域主要金鑰的金鑰材料的任何變更同步到其複本金鑰。如需詳細資訊,請參閱授權 AWS KMS 同步多區域金鑰

AWS KMS 受 AWS 管政策的更新

檢視自此服務開始追蹤這些變更 AWS KMS 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱頁面上 AWS KMS 文件歷史紀錄的RSS摘要。

變更 描述 日期

AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – 更新現有政策

AWS KMS 已將陳述式 ID (Sid) 欄位新增至政策版本 v2 中的受管政策。

2024 年 11 月 21 日

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – 更新現有政策

AWS KMS 已新增 ec2:DescribeVpcsec2:DescribeNetworkAclsec2:DescribeNetworkInterfaces許可,以監控包含 AWS CloudHSM 叢集VPC的 中的變更,以便在發生故障時 AWS KMS 提供明確的錯誤訊息。

2023 年 11 月 10 日

AWS KMS 已開始追蹤變更

AWS KMS 已開始追蹤其 AWS 受管政策的變更。

2023 年 11 月 10 日