AWS Key Management Service 的動作、資源和條件索引鍵

AWS Key Management Service （服務字首：kms) 提供可用於 IAM 許可政策的下列服務特定資源、動作和條件內容金鑰。

參考資料：

了解如何設定此服務。
檢視可供此服務使用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

AWS Key Management Service 定義的動作
AWS Key Management Service 定義的資源類型
AWS Key Management Service 的條件索引鍵

AWS Key Management Service 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
CancelKeyDeletion	控制取消 AWS KMS 金鑰排程刪除的許可	寫入	key*
CancelKeyDeletion	控制取消 AWS KMS 金鑰排程刪除的許可	寫入		kms:CallerAccount kms:ViaService
ConnectCustomKeyStore	控制許可，以將自訂金鑰存放區連線至其關聯的 AWS CloudHSM 叢集或在外部的外部金鑰管理器 AWS	寫入		kms:CallerAccount
CreateAlias	控制為 AWS KMS 金鑰建立別名的許可。別名是選用的易記名稱，可以與 KMS 金鑰建立關聯	寫入	alias*
			key*
				kms:CallerAccount kms:ViaService
CreateCustomKeyStore	控制建立由 AWS 外部 CloudHSM 叢集或外部金鑰管理器支援的自訂金鑰存放區的許可 AWS	寫入		kms:CallerAccount	cloudhsm:DescribeClusters iam:CreateServiceLinkedRole
CreateGrant	控制將授予新增至 AWS KMS 金鑰的許可。您可以使用准許來新增許可，而無需變更金鑰政策或 IAM 政策	許可管理	key*
CreateGrant	控制將授予新增至 AWS KMS 金鑰的許可。您可以使用准許來新增許可，而無需變更金鑰政策或 IAM 政策	許可管理		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal kms:ViaService
CreateKey	控制建立 AWS KMS 金鑰的許可，可用於保護資料金鑰和其他敏感資訊	寫入		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService	iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource
Decrypt	控制解密以 AWS KMS 金鑰加密之加密文字的許可	寫入	key*
Decrypt	控制解密以 AWS KMS 金鑰加密之加密文字的許可	寫入		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DeleteAlias	控制准許刪除別名。別名是您可以與 AWS KMS 金鑰建立關聯的選用易記名稱	寫入	alias*
			key*
				kms:CallerAccount kms:ViaService
DeleteCustomKeyStore	控制准許刪除自訂金鑰存放區	寫入		kms:CallerAccount
DeleteImportedKeyMaterial	控制刪除您匯入 AWS KMS 金鑰之密碼編譯資料的許可。這個動作會使金鑰變成無用	寫入	key*
DeleteImportedKeyMaterial	控制刪除您匯入 AWS KMS 金鑰之密碼編譯資料的許可。這個動作會使金鑰變成無用	寫入		kms:CallerAccount kms:ViaService
DeriveSharedSecret	控制使用指定 AWS KMS 金鑰衍生共用秘密的許可	寫入	key*
DeriveSharedSecret	控制使用指定 AWS KMS 金鑰衍生共用秘密的許可	寫入		kms:CallerAccount kms:KeyAgreementAlgorithm kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DescribeCustomKeyStores	控制准許檢視帳戶和區域中的自訂金鑰存放區的詳細資訊	讀取		kms:CallerAccount
DescribeKey	控制檢視 AWS KMS 金鑰詳細資訊的許可	讀取	key*
DescribeKey	控制檢視 AWS KMS 金鑰詳細資訊的許可	讀取		kms:CallerAccount kms:RequestAlias kms:ViaService
DisableKey	控制停用 AWS KMS 金鑰的許可，以防止其用於密碼編譯操作	寫入	key*
DisableKey	控制停用 AWS KMS 金鑰的許可，以防止其用於密碼編譯操作	寫入		kms:CallerAccount kms:ViaService
DisableKeyRotation	控制停用客戶受管 AWS KMS 金鑰自動輪換的許可	寫入	key*
DisableKeyRotation	控制停用客戶受管 AWS KMS 金鑰自動輪換的許可	寫入		kms:CallerAccount kms:ViaService
DisconnectCustomKeyStore	控制許可，以中斷自訂金鑰存放區與其關聯 AWS CloudHSM 叢集或外部金鑰管理器的連線 AWS	寫入		kms:CallerAccount
EnableKey	控制將 AWS KMS 金鑰狀態變更為已啟用的許可。這可讓 KMS 金鑰用於密碼編譯操作	寫入	key*
EnableKey	控制將 AWS KMS 金鑰狀態變更為已啟用的許可。這可讓 KMS 金鑰用於密碼編譯操作	寫入		kms:CallerAccount kms:ViaService
EnableKeyRotation	控制在 AWS KMS 金鑰中啟用密碼編譯材料自動輪換的許可	寫入	key*
EnableKeyRotation	控制在 AWS KMS 金鑰中啟用密碼編譯材料自動輪換的許可	寫入		kms:CallerAccount kms:RotationPeriodInDays kms:ViaService
Encrypt	控制使用指定的 AWS KMS 金鑰來加密資料和資料金鑰的許可	寫入	key*
Encrypt	控制使用指定的 AWS KMS 金鑰來加密資料和資料金鑰的許可	寫入		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKey	控制使用 AWS KMS 金鑰產生資料金鑰的許可。您可以使用資料金鑰來加密 AWS KMS 外部的資料	寫入	key*
GenerateDataKey	控制使用 AWS KMS 金鑰產生資料金鑰的許可。您可以使用資料金鑰來加密 AWS KMS 外部的資料	寫入		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPair	控制使用 AWS KMS 金鑰產生資料金鑰對的許可	寫入	key*
GenerateDataKeyPair	控制使用 AWS KMS 金鑰產生資料金鑰對的許可	寫入		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPairWithoutPlaintext	控制使用 AWS KMS 金鑰產生資料金鑰對的許可。與 GenerateDataKeyPair 操作不同，此操作會傳回加密的私有金鑰，但不含純文字複本	寫入	key*
GenerateDataKeyPairWithoutPlaintext		寫入		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyWithoutPlaintext	控制使用 AWS KMS 金鑰產生資料金鑰的許可。與 GenerateDataKey 操作不同，這個操作會傳回加密的資料金鑰，而沒有資料金鑰的純文字版本	寫入	key*
GenerateDataKeyWithoutPlaintext		寫入		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateMac	控制使用 AWS KMS 金鑰產生訊息驗證碼的許可	寫入	key*
GenerateMac	控制使用 AWS KMS 金鑰產生訊息驗證碼的許可	寫入		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService
GenerateRandom	控制從 AWS KMS 取得密碼編譯安全隨機位元組字串的許可	寫入		kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31
GetKeyPolicy	控制檢視指定 AWS KMS 金鑰之金鑰政策的許可	讀取	key*
GetKeyPolicy	控制檢視指定 AWS KMS 金鑰之金鑰政策的許可	讀取		kms:CallerAccount kms:ViaService
GetKeyRotationStatus	控制檢視 AWS KMS 金鑰金鑰輪換狀態的許可	讀取	key*
GetKeyRotationStatus	控制檢視 AWS KMS 金鑰金鑰輪換狀態的許可	讀取		kms:CallerAccount kms:ViaService
GetParametersForImport	針對將密碼編譯資料匯入客戶受管金鑰，控制准許取得所需的資料，包括公有金鑰和匯入符記	讀取	key*
GetParametersForImport	針對將密碼編譯資料匯入客戶受管金鑰，控制准許取得所需的資料，包括公有金鑰和匯入符記	讀取		kms:CallerAccount kms:ViaService kms:WrappingAlgorithm kms:WrappingKeySpec
GetPublicKey	控制下載非對稱 AWS KMS 金鑰公有金鑰的許可	讀取	key*
GetPublicKey	控制下載非對稱 AWS KMS 金鑰公有金鑰的許可	讀取		kms:CallerAccount kms:RequestAlias kms:ViaService
ImportKeyMaterial	控制將密碼編譯資料匯入 AWS KMS 金鑰的許可	寫入	key*
ImportKeyMaterial	控制將密碼編譯資料匯入 AWS KMS 金鑰的許可	寫入		kms:CallerAccount kms:ExpirationModel kms:ValidTo kms:ViaService
ListAliases	控制准許檢視帳戶中定義的別名。別名是您可以與 AWS KMS 金鑰建立關聯的選用易記名稱	清單
ListGrants	控制檢視 AWS KMS 金鑰所有授予的許可	清單	key*
ListGrants	控制檢視 AWS KMS 金鑰所有授予的許可	清單		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ListKeyPolicies	控制檢視 AWS KMS 金鑰之金鑰政策名稱的許可	清單	key*
ListKeyPolicies	控制檢視 AWS KMS 金鑰之金鑰政策名稱的許可	清單		kms:CallerAccount kms:ViaService
ListKeyRotations	控制檢視 AWS KMS 金鑰已完成金鑰輪換清單的許可	清單	key*
ListKeyRotations	控制檢視 AWS KMS 金鑰已完成金鑰輪換清單的許可	清單		kms:CallerAccount kms:ViaService
ListKeys	控制檢視帳戶中所有 AWS KMS 金鑰之金鑰 ID 和 Amazon Resource Name (ARN) 的許可	清單
ListResourceTags	控制檢視連接到 AWS KMS 金鑰之所有標籤的許可	清單	key*
ListResourceTags	控制檢視連接到 AWS KMS 金鑰之所有標籤的許可	清單		kms:CallerAccount kms:ViaService
ListRetirableGrants	控制准許檢視以特定委託人為淘汰委託人的授與。其他委託人可能淘汰准許，而此委託人可能汰換其他准許	清單
PutKeyPolicy	控制取代指定 AWS KMS 金鑰之金鑰政策的許可	許可管理	key*
PutKeyPolicy	控制取代指定 AWS KMS 金鑰之金鑰政策的許可	許可管理		kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:ViaService
ReEncryptFrom	控制在解密和重新加密 AWS KMS 內資料的過程中解密資料的許可	寫入	key*
ReEncryptFrom	控制在解密和重新加密 AWS KMS 內資料的過程中解密資料的許可	寫入		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReEncryptTo	在解密和重新加密 AWS KMS 內資料的過程中，控制加密資料的許可	寫入	key*
ReEncryptTo	在解密和重新加密 AWS KMS 內資料的過程中，控制加密資料的許可	寫入		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReplicateKey	控制是否准許複製多區域主要金鑰	寫入	key*		iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource
ReplicateKey	控制是否准許複製多區域主要金鑰	寫入		kms:CallerAccount kms:ReplicaRegion kms:ViaService
RetireGrant	控制准許淘汰授與。在准許使用者完成准許所允許執行的任務後，通常會呼叫 RetireGrant 操作	許可管理	key*
RetireGrant	控制准許淘汰授與。在准許使用者完成准許所允許執行的任務後，通常會呼叫 RetireGrant 操作	許可管理		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:ViaService
RevokeGrant	控制准許撤銷准許，以拒絕所有取決於該准許的操作	許可管理	key*
RevokeGrant	控制准許撤銷准許，以拒絕所有取決於該准許的操作	許可管理		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
RotateKeyOnDemand	控制許可，以叫用 AWS KMS 金鑰中密碼編譯材料的隨需輪換	寫入	key*
RotateKeyOnDemand	控制許可，以叫用 AWS KMS 金鑰中密碼編譯材料的隨需輪換	寫入		kms:CallerAccount kms:ViaService
ScheduleKeyDeletion	控制排程刪除 AWS KMS 金鑰的許可	寫入	key*
ScheduleKeyDeletion	控制排程刪除 AWS KMS 金鑰的許可	寫入		kms:CallerAccount kms:ScheduleKeyDeletionPendingWindowInDays kms:ViaService
Sign	控制准許產生訊息的數位簽章	寫入	key*
Sign	控制准許產生訊息的數位簽章	寫入		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
SynchronizeMultiRegionKey [僅限許可]	控制同步處理多區域索引鍵的內部 API 之存取	寫入	key*
TagResource	控制建立或更新連接到 AWS KMS 金鑰之標籤的許可	標記	key*
TagResource	控制建立或更新連接到 AWS KMS 金鑰之標籤的許可	標記		aws:RequestTag/${TagKey} aws:TagKeys kms:CallerAccount kms:ViaService
UntagResource	控制刪除連接到 AWS KMS 金鑰之標籤的許可	標記	key*
UntagResource	控制刪除連接到 AWS KMS 金鑰之標籤的許可	標記		aws:TagKeys kms:CallerAccount kms:ViaService
UpdateAlias	控制將別名與不同 AWS KMS 金鑰建立關聯的許可。別名是選用的易記名稱，可以與 KMS 金鑰建立關聯	寫入	alias*
			key*
				kms:CallerAccount kms:ViaService
UpdateCustomKeyStore	控制准許變更自訂金鑰存放區的屬性	寫入		kms:CallerAccount
UpdateKeyDescription	控制刪除或變更 AWS KMS 金鑰描述的許可	寫入	key*
UpdateKeyDescription	控制刪除或變更 AWS KMS 金鑰描述的許可	寫入		kms:CallerAccount kms:ViaService
UpdatePrimaryRegion	控制是否准許更新多區域主要金鑰的主要區域	寫入	key*
UpdatePrimaryRegion	控制是否准許更新多區域主要金鑰的主要區域	寫入		kms:CallerAccount kms:PrimaryRegion kms:ViaService
Verify	控制使用指定 AWS KMS 金鑰驗證數位簽章的許可	寫入	key*
Verify	控制使用指定 AWS KMS 金鑰驗證數位簽章的許可	寫入		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
VerifyMac	控制使用 AWS KMS 金鑰驗證訊息驗證碼的許可	寫入	key*
VerifyMac	控制使用 AWS KMS 金鑰驗證訊息驗證碼的許可	寫入		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService

AWS Key Management Service 定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型 ARN 條件索引鍵

alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}

資源類型	ARN	條件索引鍵
alias	`arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}`
key	`arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} kms:KeyOrigin kms:KeySpec kms:KeyUsage kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases

key

arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:MultiRegionKeyType

kms:ResourceAliases

AWS Key Management Service 的條件索引鍵

AWS Key Management Service 定義下列條件金鑰，可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務都可使用的全域條件鍵，請參閱可用全域條件鍵。

條件索引鍵	描述	Type
aws:RequestTag/${TagKey}	根據請求中標籤的索引鍵和值，篩選對指定 AWS KMS 操作的存取權	字串
aws:ResourceTag/${TagKey}	根據指派給 AWS KMS 金鑰的標籤篩選對指定 AWS KMS 操作的存取權	字串
aws:TagKeys	根據請求中的標籤索引鍵篩選對指定 AWS KMS 操作的存取	ArrayOfString
kms:BypassPolicyLockoutSafetyCheck	根據請求中的 BypassPolicyLockoutSafetyCheck 參數值，篩選對 CreateKey 和 PutKeyPolicy 操作的存取權	Bool
kms:CallerAccount	根據發起人的 AWS 帳戶 ID 篩選對指定 AWS KMS 操作的存取。您可以使用此條件金鑰，允許或拒絕存取 AWS 帳戶單一政策陳述式中中的所有 IAM 使用者和角色	字串
kms:CustomerMasterKeySpec	kms:CustomerMasterKeySpec 條件索引鍵已被取代。相反地，請使用 kms:KeySpec 條件索引鍵	字串
kms:CustomerMasterKeyUsage	kms:CustomerMasterKeyUsage 條件索引鍵已被取代。相反地，請使用 kms:KeyUsage 條件索引鍵	字串
kms:DataKeyPairSpec	根據請求中的 KeyPairSpec 參數值，篩選對 GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext 操作的存取權	字串
kms:EncryptionAlgorithm	根據請求中的加密演算法的值，篩選對加密操作的存取權	字串
kms:EncryptionContext:${EncryptionContextKey}	根據密碼編譯操作中的加密內容，篩選對稱 AWS KMS 金鑰的存取權。此條件評估每個鍵值加密內容對中的索引鍵和值。	字串
kms:EncryptionContextKeys	根據密碼編譯操作中的加密內容，篩選對稱 AWS KMS 金鑰的存取權。此條件索引鍵僅評估每個鍵值加密內容對中的索引鍵。	ArrayOfString
kms:ExpirationModel	根據請求中的 ExpirationModel 參數值，篩選對 ImportKeyMaterial 操作的存取權	字串
kms:GrantConstraintType	根據請求中的准許限制，篩選對 CreateGrant 操作的存取權	字串
kms:GrantIsForAWSResource	當請求來自指定的 AWS 服務時，篩選對 CreateGrant 操作的存取	Bool
kms:GrantOperations	根據准許中的操作，篩選對 CreateGrant 操作的存取權	ArrayOfString
kms:GranteePrincipal	根據准許中的承授者委託人，篩選對 CreateGrant 操作的存取權	字串
kms:KeyAgreementAlgorithm	根據請求中的 KeyAgreementAlgorithm 參數值，篩選對 DeriveSharedSecret 操作的存取	字串
kms:KeyOrigin	根據操作中建立或使用的 AWS KMS 金鑰的 Origin 屬性，篩選 API 操作的存取權。用來准予 CreateKey 操作，或針對 KMS 金鑰獲准執行的任何操作	字串
kms:KeySpec	根據由操作所建立或使用之 AWS KMS 金鑰的 KeySpec 屬性，篩選 API 操作的存取權。用來准予 CreateKey 操作，或針對 KMS 金鑰資源獲准執行的任何操作	字串
kms:KeyUsage	根據操作中建立或使用之 AWS KMS 金鑰的 KeyUsage 屬性，篩選 API 操作的存取權。用來准予 CreateKey 操作，或針對 KMS 金鑰資源獲准執行的任何操作	字串
kms:MacAlgorithm	根據請求中的 MacAlgorithm 參數，篩選 GenerateMac 和 VerifyMac 操作的存取權	字串
kms:MessageType	根據請求中的 MessageType 參數值，篩選對 Sign 和 Verify 操作的存取權	字串
kms:MultiRegion	根據操作中建立或使用的 AWS KMS 金鑰的 MultiRegion 屬性，篩選 API 操作的存取權。用來准予 CreateKey 操作，或針對 KMS 金鑰資源獲准執行的任何操作	Bool
kms:MultiRegionKeyType	根據操作中建立或使用的 AWS KMS 金鑰的 MultiRegionKeyType 屬性，篩選對 API 操作的存取。用來准予 CreateKey 操作，或針對 KMS 金鑰資源獲准執行的任何操作	字串
kms:PrimaryRegion	根據請求中的 PrimaryRegion 參數值，篩選 UpdatePrimaryRegion 操作的存取權	字串
kms:ReEncryptOnSameKey	當 ReEncrypt 操作使用與 Encrypt 操作相同的 AWS KMS 金鑰時，篩選對 ReEncrypt 操作的存取	Bool
kms:RecipientAttestation:ImageSha384	根據請求中證明文件中的映像雜湊篩選 API 操作的存取權	字串
kms:RecipientAttestation:PCR0	依證明文件中的平台組態註冊表 (PCR) 0 篩選存取權。PCR0 是 enclave 影像檔案內容的連續測量，不含區段資料	字串
kms:RecipientAttestation:PCR1	依證明文件中的平台組態註冊表 (PCR) 1 篩選存取權。PCR1 是 Linux 核心和引導資料的連續測量	字串
kms:RecipientAttestation:PCR10	依請求中證明文件中的平台組態註冊表 (PCR) 10 篩選存取權。PCR10 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR11	依請求中證明文件中的平台組態註冊表 (PCR) 11 篩選存取權。PCR11 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR12	依請求中證明文件中的平台組態註冊表 (PCR) 12 篩選存取權。PCR12 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR13	依請求中證明文件中的平台組態註冊表 (PCR) 13 篩選存取權。PCR13 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR14	依請求中證明文件中的平台組態註冊表 (PCR) 14 篩選存取權。PCR14 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR15	依請求中證明文件中的平台組態註冊表 (PCR) 15 篩選存取權。PCR15 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR16	依請求中證明文件中的平台組態註冊表 (PCR) 16 篩選存取權。PCR16 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR17	依請求中證明文件中的平台組態註冊表 (PCR) 17 篩選存取權。PCR17 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR18	依請求中證明文件中的平台組態註冊表 (PCR) 18 篩選存取權。PCR18 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR19	依請求中證明文件中的平台組態註冊表 (PCR) 19 篩選存取權。PCR19 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR2	依證明文件中的平台組態註冊表 (PCR) 2 篩選存取權。PCR2 是使用者應用程式的連續、依序測量，沒有開機 ramf	字串
kms:RecipientAttestation:PCR20	依請求中證明文件中的平台組態註冊表 (PCR) 20 篩選存取權。PCR20 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR21	依請求中證明文件的平台組態註冊表 (PCR) 21 篩選存取權。PCR21 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR22	依請求中證明文件的平台組態註冊表 (PCR) 22 篩選存取權。PCR22 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR23	依請求中證明文件中的平台組態註冊表 (PCR) 23 篩選存取權。PCR23 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR24	依請求中證明文件中的平台組態註冊表 (PCR) 24 篩選存取權。PCR24 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR25	依請求中證明文件中的平台組態註冊表 (PCR) 25 篩選存取權。PCR25 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR26	依請求中證明文件中的平台組態註冊表 (PCR) 26 篩選存取權。PCR26 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR27	依請求中證明文件中的平台組態註冊表 (PCR) 27 篩選存取權。PCR27 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR28	依請求中證明文件的平台組態註冊表 (PCR) 28 篩選存取權。PCR28 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR29	依請求中證明文件中的平台組態註冊表 (PCR) 29 篩選存取權。PCR29 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR3	依證明文件中的平台組態註冊表 (PCR) 3 篩選存取權。PCR3 是指派給父執行個體之 IAM 角色的連續測量	字串
kms:RecipientAttestation:PCR30	依請求中證明文件的平台組態註冊表 (PCR) 30 篩選存取權。PCR30 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR31	依請求中證明文件中的平台組態註冊表 (PCR) 31 篩選存取權。PCR31 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR4	依證明文件中的平台組態註冊表 (PCR) 4 篩選存取權。PCR4 是父執行個體 ID 的連續測量	字串
kms:RecipientAttestation:PCR5	依請求中證明文件中的平台組態註冊表 (PCR) 5 篩選存取權。PCR5 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR6	依請求中證明文件中的平台組態註冊表 (PCR) 6 篩選存取權。PCR6 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR7	依請求中證明文件中的平台組態註冊表 (PCR) 7 篩選存取權。PCR7 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:RecipientAttestation:PCR8	依證明文件中的平台組態註冊表 (PCR) 8 篩選存取權。PCR8 是為 enclave 映像檔案指定的簽署憑證的測量	字串
kms:RecipientAttestation:PCR9	依請求中證明文件中的平台組態註冊表 (PCR) 9 篩選存取權。PCR9 是一種自訂 PCR，可由使用者針對特定使用案例定義	字串
kms:ReplicaRegion	根據請求中的 ReplicaRegion 參數值，篩選 ReplicateKey 操作的存取權	字串
kms:RequestAlias	根據請求中的別名，篩選對加密編譯操作、DescribeKey 和 GetPublicKey 的存取權	字串
kms:ResourceAliases	根據與 AWS KMS 金鑰相關聯的別名，篩選對指定 AWS KMS 操作的存取權	ArrayOfString
kms:RetiringPrincipal	根據准許中的淘汰委託人，篩選對 CreateGrant 操作的存取權	字串
kms:RotationPeriodInDays	根據請求中的 RotationPeriodInDays 參數值，篩選對 EnableKeyRotation 操作的存取	數值
kms:ScheduleKeyDeletionPendingWindowInDays	根據請求中 PendingWindowInDays 參數的值，篩選對 ScheduleKeyDeletion 操作的存取權	數值
kms:SigningAlgorithm	根據請求中的簽署演算法，篩選對 Sign 和 Verify 操作的存取權	字串
kms:ValidTo	根據請求中的 ValidTo 參數值，篩選對 ImportKeyMaterial 操作的存取權。您可以使用此條件索引鍵，表示只有當金鑰資料在指定的日期之前過期時，才允許使用者匯入金鑰資料	日期
kms:ViaService	當代表委託人提出的請求來自指定的 AWS 服務時，篩選存取權	字串
kms:WrappingAlgorithm	根據請求中的 WrappingAlgorithm 參數值，篩選對 GetParametersForImport 操作的存取權	字串
kms:WrappingKeySpec	根據請求中的 WrappingKeySpec 參數值，篩選對 GetParametersForImport 操作的存取權	字串

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon Kendra Intelligent Ranking

Amazon Keyspaces (適用於 Apache Cassandra)

選取您的 Cookie 偏好設定

自訂 Cookie 偏好設定

必要

效能

功能

廣告

無法儲存 Cookie 偏好設定

AWS Key Management Service 的動作、資源和條件索引鍵

主題

AWS Key Management Service 定義的動作

注意

AWS Key Management Service 定義的資源類型

AWS Key Management Service 的條件索引鍵

此頁面是否有幫助？

下一個主題：

上一個主題：

需要協助？