本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Key Management Service
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSKeyManagementServicePowerUser
您可將 `AWSKeyManagementServicePowerUser` 政策連接到 IAM 身分。
您可以使用 `AWSKeyManagementServicePowerUser` 受管政策,為您帳戶中的 IAM 主體提供進階使用者的許可。進階使用者可以建立 KMS 金鑰、使用和管理其建立的 KMS 金鑰,以及檢視所有 KMS 金鑰和 IAM 身分識別。擁有 `AWSKeyManagementServicePowerUser` 受管政策的主體也可以從其他來源取得許可,包括金鑰政策、其他 IAM 政策和授予。
`AWSKeyManagementServicePowerUser` 是 AWS 受管 IAM 政策。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**注意**
此政策中特定於 KMS 金鑰的許可,例如 `kms:TagResource` 和 `kms:GetKeyRotationStatus`,僅當該 KMS 金鑰的金鑰政策[明確允許 AWS 帳戶 使用 IAM 政策](key-policy-default.md#key-policy-default-allow-root-enable-iam)來控制對金鑰的存取時才有效。若要確定許可是否特定於 KMS 金鑰,請參閱 [AWS KMS 許可](kms-api-permissions-reference.md) 並查找**資源**資料欄中的 **KMS 金鑰**。
這項政策為進階使用者提供針對任何 KMS 金鑰的許可,搭配允許操作的金鑰政策。對於跨帳戶許可,例如 `kms:DescribeKey` 和 `kms:ListGrants`,這可能包括不受信任的 AWS 帳戶中的 KMS 金鑰。如需詳細資訊,請參閱 [IAM 政策的最佳實務](iam-policies-best-practices.md) 和 [允許其他帳戶中的使用者使用 KMS 金鑰](key-policy-modifying-external-accounts.md)。若要確定許可是否對其他帳戶中的 KMS 金鑰有效,請參閱 [AWS KMS 許可](kms-api-permissions-reference.md) 並查找**跨帳戶使用**資料欄中的**是**。
若要允許主體在不發生錯誤的情況下檢視 AWS KMS 主控台,主體需要 [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) 許可,此許可不包含在`AWSKeyManagementServicePowerUser`政策中。您可以在單獨的 IAM 政策中允許此許可。
[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) 受管 IAM 政策包含以下許可。
+ 允許主體建立 KMS 金鑰。由於此程序包含設定金鑰政策,進階使用者可以授予自己和其他人使用和管理其所建立之 KMS 金鑰的許可。
+ 允許主體對所有 KMS 金鑰建立和刪除[別名](kms-alias.md)和[標籤](tagging-keys.md)。變更標籤或別名可允許或拒絕使用和管理 KMS 金鑰的許可。如需詳細資訊,請參閱[適用於 的 ABAC AWS KMS](abac.md)。
+ 允許主體取得有關所有 KMS 金鑰的詳細資訊,包括金鑰 ARN、密碼編譯組態、金鑰政策、別名、標籤和[輪換狀態](rotate-keys.md)。
+ 允許主體列出 IAM 使用者、群組和角色。
+ 此政策不允許主體使用或管理其未建立的 KMS 金鑰。然而,它們可以變更所有 KMS 金鑰上的別名和標籤,這可能允許或拒絕使用或管理 KMS 金鑰的許可。
若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)。
## AWS 受管政策:AWSServiceRoleForKeyManagementServiceCustomKeyStores
您不得將 `AWSServiceRoleForKeyManagementServiceCustomKeyStores` 連接到 IAM 實體。此政策會連接到服務連結角色,該角色授予 AWS KMS 許可來檢視與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集,並建立網路以支援自訂金鑰存放區與其 AWS CloudHSM 叢集之間的連線。如需詳細資訊,請參閱[授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源](authorize-kms.md)。
## AWS 受管政策:AWSServiceRoleForKeyManagementServiceMultiRegionKeys
您不得將 `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` 連接到 IAM 實體。此政策連接到服務連結角色,該角色授予 AWS KMS 許可,以將多區域主要金鑰的金鑰材料的任何變更同步至其複本金鑰。如需詳細資訊,請參閱[授權 AWS KMS 同步多區域金鑰](multi-region-auth-slr.md)。
## AWS KMS AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS KMS 以來, AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 AWS KMS [文件歷史紀錄](dochistory.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – 更新現有政策 | AWS KMS 已將陳述式 ID (`Sid`) 欄位新增至政策版本 v2 中的 受管政策。 | 2024 年 11 月 21 日 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – 更新現有政策 | AWS KMS 新增 `ec2:DescribeVpcs`、 `ec2:DescribeNetworkAcls`和 `ec2:DescribeNetworkInterfaces`許可,以監控包含 AWS CloudHSM 叢集的 VPC 中的變更,以便 AWS KMS 可以在失敗時提供明確的錯誤訊息。 | 2023 年 11 月 10 日 |
| AWS KMS 開始追蹤變更 | AWS KMS 已開始追蹤其 AWS 受管政策的變更。 | 2023 年 11 月 10 日 |