Aktionen Ressourcentypen Bedingungsschlüssel

Aktionen, Ressourcen und Bedingungsschlüssel für AWS Key Management Service

AWS Der Key Management Service (Dienstpräfix:kms) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.

Referenzen:

Erfahren Sie, wie Sie diesen Service konfigurieren.
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.

Themen

Von AWS Key Management Service definierte Aktionen
Vom AWS Key Management Service definierte Ressourcentypen
Bedingungsschlüssel für AWS Key Management Service

Von AWS Key Management Service definierte Aktionen

Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.

In der Spalte Zugriffsebene der Tabelle Aktionen wird beschrieben, wie die Aktion klassifiziert ist (Liste, Lesen, Berechtigungsverwaltung oder Tagging). Diese Klassifizierung gibt an, welche Zugriffsebene die betreffende Aktion gewährt, wenn Sie sie in einer Richtlinie verwenden. Weitere Informationen zu Zugriffsebenen finden Sie unter Zugriffsebenen in Richtlinienzusammenfassungen.

Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.

Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.

In der Spalte „Abhängige Aktionen“ der Tabelle „Aktionen“ werden zusätzliche Berechtigungen angezeigt, die möglicherweise erforderlich sind, um eine Aktion erfolgreich aufzurufen. Diese Berechtigungen sind möglicherweise zusätzlich zu den Berechtigungen für die Aktion selbst erforderlich. Wenn eine Aktion abhängige Aktionen spezifiziert, können diese Abhängigkeiten für zusätzliche Ressourcen gelten, die für diese Aktion definiert wurden, nicht nur für die erste Ressource, die in der Tabelle aufgeführt ist.

Anmerkung

Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.

Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen

Aktionen	Beschreibung	Zugriffsebene	Ressourcentypen (*erforderlich)	Bedingungsschlüssel	Abhängige Aktionen
CancelKeyDeletion	Steuert die Berechtigung, das geplante Löschen eines AWS KMS-Schlüssels abzubrechen	Schreiben	key*
CancelKeyDeletion		Schreiben		kms:CallerAccount kms:ViaService
ConnectCustomKeyStore	Steuert die Berechtigung, einen benutzerdefinierten Schlüsselspeicher mit seinem zugehörigen AWS CloudHSM-Cluster oder externen Schlüsselmanager außerhalb von zu verbinden oder erneut zu verbinden AWS	Schreiben		kms:CallerAccount
CreateAlias	Steuert die Berechtigung, einen Alias für einen AWS KMS-Schlüssel zu erstellen. Alias sind optionale Anzeigenamen, die Sie -KMS-Schlüsseln zuordnen können	Schreiben	alias*
			key*
				kms:CallerAccount kms:ViaService
CreateCustomKeyStore	Steuert die Berechtigung zum Erstellen eines benutzerdefinierten Schlüsselspeichers, der von einem AWS CloudHSM-Cluster oder einem externen Schlüsselmanager außerhalb von unterstützt wird AWS	Schreiben		kms:CallerAccount	cloudhsm:DescribeClusters iam:CreateServiceLinkedRole
CreateGrant	Steuert die Berechtigung, einem AWS KMS-Schlüssel einen Grant hinzuzufügen. Sie können Berechtigungen verwenden, um Berechtigungen hinzuzufügen, ohne die Schlüsselrichtlinie oder IAM-Richtlinie zu ändern.	Berechtigungsverwaltung	key*
CreateGrant		Berechtigungsverwaltung		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal kms:ViaService
CreateKey	Steuert die Berechtigung zum Erstellen eines AWS KMS-Schlüssels, der zum Schutz von Datenschlüsseln und anderen vertraulichen Informationen verwendet werden kann	Schreiben		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService	iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource
Decrypt	Steuert die Berechtigung zum Entschlüsseln von Chiffretext, der mit einem KMS-Schlüssel verschlüsselt wurde AWS	Schreiben	key*
Decrypt		Schreiben		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DeleteAlias	Steuert die Berechtigung zum Löschen eines Alias. Aliase sind optionale benutzerfreundliche Namen, die Sie KMS-Schlüsseln zuordnen können AWS	Schreiben	alias*
			key*
				kms:CallerAccount kms:ViaService
DeleteCustomKeyStore	Steuert die Berechtigung zum Löschen eines benutzerdefinierten Schlüsselspeichers	Schreiben		kms:CallerAccount
DeleteImportedKeyMaterial	Steuert die Berechtigung zum Löschen von kryptografischem Material, das Sie in einen AWS KMS-Schlüssel importiert haben. Diese Aktion macht den Schlüssel unbrauchbar.	Schreiben	key*
DeleteImportedKeyMaterial		Schreiben		kms:CallerAccount kms:ViaService
DeriveSharedSecret	Steuert die Berechtigung zur Verwendung des angegebenen AWS KMS-Schlüssels zur Ableitung von gemeinsamen Geheimnissen	Schreiben	key*
DeriveSharedSecret		Schreiben		kms:CallerAccount kms:KeyAgreementAlgorithm kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DescribeCustomKeyStores	Steuert die Berechtigung zum Anzeigen detaillierter Informationen zu benutzerdefinierten Schlüsselspeichern im Konto und in der Region	Lesen		kms:CallerAccount
DescribeKey	Steuert die Berechtigung, detaillierte Informationen zu einem AWS KMS-Schlüssel einzusehen	Lesen	key*
DescribeKey		Lesen		kms:CallerAccount kms:RequestAlias kms:ViaService
DisableKey	Steuert die Berechtigung zum Deaktivieren eines AWS KMS-Schlüssels, wodurch verhindert wird, dass er für kryptografische Operationen verwendet wird	Schreiben	key*
DisableKey		Schreiben		kms:CallerAccount kms:ViaService
DisableKeyRotation	Steuert die Berechtigung, die automatische Rotation eines vom Kunden verwalteten AWS KMS-Schlüssels zu deaktivieren	Schreiben	key*
DisableKeyRotation		Schreiben		kms:CallerAccount kms:ViaService
DisconnectCustomKeyStore	Steuert die Berechtigung, den benutzerdefinierten Schlüsselspeicher von seinem zugehörigen AWS CloudHSM-Cluster oder externen Schlüsselmanager außerhalb von zu trennen AWS	Schreiben		kms:CallerAccount
EnableKey	Steuert die Berechtigung, den Status eines AWS KMS-Schlüssels auf aktiviert zu ändern. Auf diese Weise kann der CMK in kryptografischen Produktionen verwendet werden.	Schreiben	key*
EnableKey		Schreiben		kms:CallerAccount kms:ViaService
EnableKeyRotation	Steuert die Berechtigung, die automatische Rotation des kryptografischen Materials in einem AWS KMS-Schlüssel zu aktivieren	Schreiben	key*
EnableKeyRotation		Schreiben		kms:CallerAccount kms:RotationPeriodInDays kms:ViaService
Encrypt	Steuert die Berechtigung, den angegebenen AWS KMS-Schlüssel zum Verschlüsseln von Daten und Datenschlüsseln zu verwenden	Schreiben	key*
Encrypt		Schreiben		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKey	Steuert die Erlaubnis, den AWS KMS-Schlüssel zum Generieren von Datenschlüsseln zu verwenden. Sie können die Datenschlüssel verwenden, um Daten außerhalb von AWS KMS zu verschlüsseln	Schreiben	key*
GenerateDataKey		Schreiben		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPair	Steuert die Erlaubnis, den AWS KMS-Schlüssel zum Generieren von Datenschlüsselpaaren zu verwenden	Schreiben	key*
GenerateDataKeyPair		Schreiben		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPairWithoutPlaintext	Steuert die Erlaubnis, den AWS KMS-Schlüssel zum Generieren von Datenschlüsselpaaren zu verwenden. Im Gegensatz zur GenerateDataKeyPair Operation gibt diese Operation einen verschlüsselten privaten Schlüssel ohne Klartextkopie zurück	Schreiben	key*
GenerateDataKeyPairWithoutPlaintext		Schreiben		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyWithoutPlaintext	Steuert die Erlaubnis, den AWS KMS-Schlüssel zum Generieren eines Datenschlüssels zu verwenden. Im Gegensatz zur GenerateDataKey Operation gibt diese Operation einen verschlüsselten Datenschlüssel ohne Klartextversion des Datenschlüssels zurück	Schreiben	key*
GenerateDataKeyWithoutPlaintext		Schreiben		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateMac	Steuert die Erlaubnis, den AWS KMS-Schlüssel zur Generierung von Nachrichtenauthentifizierungscodes zu verwenden	Schreiben	key*
GenerateMac		Schreiben		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService
GenerateRandom	Steuert die Erlaubnis, eine kryptografisch sichere zufällige Bytezeichenfolge von KMS abzurufen AWS	Schreiben		kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31
GetKeyPolicy	Steuert die Berechtigung, die Schlüsselrichtlinie für den angegebenen AWS KMS-Schlüssel einzusehen	Lesen	key*
GetKeyPolicy		Lesen		kms:CallerAccount kms:ViaService
GetKeyRotationStatus	Steuert die Berechtigung, den Schlüsselrotationsstatus für einen AWS KMS-Schlüssel einzusehen	Lesen	key*
GetKeyRotationStatus		Lesen		kms:CallerAccount kms:ViaService
GetParametersForImport	Steuert die Berechtigung zum Abrufen von Daten, die zum Importieren von kryptografischem Material in einen vom Kunden verwalteten Schlüssel erforderlich sind, einschließlich eines öffentlichen Schlüssels und eines Import-Tokens	Lesen	key*
GetParametersForImport		Lesen		kms:CallerAccount kms:ViaService kms:WrappingAlgorithm kms:WrappingKeySpec
GetPublicKey	Steuert die Berechtigung zum Herunterladen des öffentlichen Schlüssels eines asymmetrischen AWS KMS-Schlüssels	Lesen	key*
GetPublicKey		Lesen		kms:CallerAccount kms:RequestAlias kms:ViaService
ImportKeyMaterial	Steuert die Erlaubnis, kryptografisches Material in einen AWS KMS-Schlüssel zu importieren	Schreiben	key*
ImportKeyMaterial		Schreiben		kms:CallerAccount kms:ExpirationModel kms:ValidTo kms:ViaService
ListAliases	Steuert die Berechtigung zum Anzeigen der Alias, die im Konto definiert sind. Aliase sind optionale benutzerfreundliche Namen, die Sie KMS-Schlüsseln zuordnen AWS können	Auflisten
ListGrants	Steuert die Berechtigung, alle Grants für einen AWS KMS-Schlüssel einzusehen	Auflisten	key*
ListGrants		Auflisten		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ListKeyPolicies	Steuert die Berechtigung, die Namen der wichtigsten Richtlinien für einen AWS KMS-Schlüssel anzuzeigen	Auflisten	key*
ListKeyPolicies		Auflisten		kms:CallerAccount kms:ViaService
ListKeyRotations	Steuert die Berechtigung, die Liste der wichtigsten Materialien für einen AWS KMS-Schlüssel einzusehen	Auflisten	key*
ListKeyRotations		Auflisten		kms:CallerAccount kms:ViaService
ListKeys	Steuert die Berechtigung, die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) aller AWS KMS-Schlüssel im Konto einzusehen	Auflisten
ListResourceTags	Steuert die Berechtigung zum Anzeigen aller Tags, die an einen AWS KMS-Schlüssel angehängt sind	Auflisten	key*
ListResourceTags		Auflisten		kms:CallerAccount kms:ViaService
ListRetirableGrants	Steuert die Berechtigung zum Anzeigen der Erteilungen, in denen der angegebene Prinzipal der zurückziehende Prinzipal ist. Andere Prinzipale könnten in der Lage sein, die Berechtigung zurückzuziehen, und dieser Prinzipal könnte in der Lage sein, andere Berechtigungen zurückziehen.	Auflisten
PutKeyPolicy	Steuert die Berechtigung, die Schlüsselrichtlinie für den angegebenen AWS KMS-Schlüssel zu ersetzen	Berechtigungsverwaltung	key*
PutKeyPolicy		Berechtigungsverwaltung		kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:ViaService
ReEncryptFrom	Steuert die Berechtigung zum Entschlüsseln von Daten als Teil des Prozesses, der die Daten innerhalb von KMS entschlüsselt und erneut verschlüsselt AWS	Schreiben	key*
ReEncryptFrom		Schreiben		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReEncryptTo	Steuert die Erlaubnis zum Verschlüsseln von Daten als Teil des Prozesses, der die Daten innerhalb von KMS entschlüsselt und erneut verschlüsselt AWS	Schreiben	key*
ReEncryptTo		Schreiben		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReplicateKey	Steuert die Berechtigung zum Replizieren eines Primärschlüssels mit mehreren Regionen	Write	key*		iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource
ReplicateKey		Write		kms:CallerAccount kms:ReplicaRegion kms:ViaService
RetireGrant	Steuert die Berechtigung zum Zurückziehen einer Berechtigung. Der RetireGrant Vorgang wird in der Regel vom Grant-Benutzer aufgerufen, nachdem er die Aufgaben abgeschlossen hat, zu deren Ausführung er berechtigt war	Berechtigungsverwaltung	key*
RetireGrant		Berechtigungsverwaltung		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:ViaService
RevokeGrant	Steuert die Berechtigung zum Widerrufen einer Berechtigung, wodurch alle Produktionen verweigert werden, die von der betreffenden Berechtigung abhängen	Berechtigungsverwaltung	key*
RevokeGrant		Berechtigungsverwaltung		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
RotateKeyOnDemand	Steuert die Berechtigung, bei Bedarf die Rotation des kryptografischen Materials in einem AWS KMS-Schlüssel auszulösen	Schreiben	key*
RotateKeyOnDemand		Schreiben		kms:CallerAccount kms:ViaService
ScheduleKeyDeletion	Steuert die Berechtigung, das Löschen eines KMS-Schlüssels zu planen AWS	Schreiben	key*
ScheduleKeyDeletion		Schreiben		kms:CallerAccount kms:ScheduleKeyDeletionPendingWindowInDays kms:ViaService
Sign	Steuert die Berechtigung zum Erstellen einer digitalen Signatur für eine Nachricht	Write	key*
Sign		Write		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
SynchronizeMultiRegionKey [nur Berechtigung]	Steuert den Zugriff auf interne APIs Schlüssel, die mehrere Regionen synchronisieren	Schreiben	key*
TagResource	Steuert die Berechtigung zum Erstellen oder Aktualisieren von Tags, die an einen AWS KMS-Schlüssel angehängt sind	Tagging	key*
TagResource		Tagging		aws:RequestTag/${TagKey} aws:TagKeys kms:CallerAccount kms:ViaService
UntagResource	Steuert die Berechtigung zum Löschen von Tags, die an einen AWS KMS-Schlüssel angehängt sind	Tagging	key*
UntagResource		Tagging		aws:TagKeys kms:CallerAccount kms:ViaService
UpdateAlias	Steuert die Berechtigung, einen Alias einem anderen AWS KMS-Schlüssel zuzuordnen. Ein Alias ist ein optionaler Anzeigename, den Sie einem Kundenmasterschlüssel zuordnen können.	Schreiben	alias*
			key*
				kms:CallerAccount kms:ViaService
UpdateCustomKeyStore	Steuert die Berechtigung zum Ändern der Eigenschaften eines benutzerdefinierten Schlüsselspeichers	Schreiben		kms:CallerAccount
UpdateKeyDescription	Steuert die Berechtigung, die Beschreibung eines AWS KMS-Schlüssels zu löschen oder zu ändern	Schreiben	key*
UpdateKeyDescription		Schreiben		kms:CallerAccount kms:ViaService
UpdatePrimaryRegion	Steuert die Berechtigung zum Aktualisieren der primären Region eines Primärschlüssels mit mehreren Regionen	Schreiben	key*
UpdatePrimaryRegion		Schreiben		kms:CallerAccount kms:PrimaryRegion kms:ViaService
Verify	Steuert die Berechtigung, den angegebenen AWS KMS-Schlüssel zur Überprüfung digitaler Signaturen zu verwenden	Schreiben	key*
Verify		Schreiben		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
VerifyMac	Steuert die Erlaubnis, den AWS KMS-Schlüssel zur Überprüfung von Nachrichtenauthentifizierungscodes zu verwenden	Schreiben	key*
VerifyMac		Schreiben		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService

Vom AWS Key Management Service definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.

Ressourcentypen ARN Bedingungsschlüssel

alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}

Ressourcentypen	ARN	Bedingungsschlüssel
alias	`arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}`
key	`arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} kms:KeyOrigin kms:KeySpec kms:KeyUsage kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases

key

arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:MultiRegionKeyType

kms:ResourceAliases

Bedingungsschlüssel für AWS Key Management Service

AWS Der Key Management Service definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).

Die globalen Bedingungsschlüssel, die für alle Dienste verfügbar sind, finden Sie unter AWS Globale Bedingungskontextschlüssel.

Bedingungsschlüssel	Beschreibung	Typ
aws:RequestTag/${TagKey}	Filtert den Zugriff auf die angegebenen AWS KMS-Operationen sowohl anhand des Schlüssels als auch anhand des Werts des Tags in der Anforderung	String
aws:ResourceTag/${TagKey}	Filtert den Zugriff auf die angegebenen AWS KMS-Operationen auf der Grundlage von Tags, die dem AWS KMS-Schlüssel zugewiesen sind	String
aws:TagKeys	Filtert den Zugriff auf die angegebenen AWS KMS-Operationen auf der Grundlage der Tagschlüssel in der Anfrage	ArrayOfString
kms:BypassPolicyLockoutSafetyCheck	Filtert den Zugriff auf die PutKeyPolicy Operationen CreateKey und basierend auf dem Wert des BypassPolicyLockoutSafetyCheck Parameters in der Anforderung	Bool
kms:CallerAccount	Filtert den Zugriff auf bestimmte AWS KMS-Operationen basierend auf der AWS-Konto ID des Anrufers. Sie können diesen Bedingungsschlüssel verwenden, um allen IAM-Benutzern und -Rollen AWS-Konto in einer einzigen Richtlinienanweisung den Zugriff zu gewähren oder zu verweigern	String
kms:CustomerMasterKeySpec	Der kms: CustomerMasterKeySpec Bedingungsschlüssel ist veraltet. Verwenden Sie stattdessen den kms: KeySpec Bedingungsschlüssel	String
kms:CustomerMasterKeyUsage	Der kms: CustomerMasterKeyUsage Bedingungsschlüssel ist veraltet. Verwenden Sie stattdessen den kms: KeyUsage Bedingungsschlüssel	String
kms:DataKeyPairSpec	Filtert den Zugriff auf GenerateDataKeyPair und die GenerateDataKeyPairWithoutPlaintext Operationen basierend auf dem Wert des KeyPairSpec Parameters in der Anfrage	String
kms:EncryptionAlgorithm	Filtert den Zugriff auf VerschlüsselungsProduktionen basierend auf dem Wert des Verschlüsselungsalgorithmus in der Anforderung	String
kms:EncryptionContext:${EncryptionContextKey}	Filtert den Zugriff auf einen symmetrischen AWS KMS-Schlüssel auf der Grundlage des Verschlüsselungskontextes in einem kryptografischen Vorgang. Diese Bedingung bewertet sowohl den Schlüssel als auch den Wert in jedem Verschlüsselungskontext-Paar	String
kms:EncryptionContextKeys	Filtert den Zugriff auf einen symmetrischen AWS KMS-Schlüssel auf der Grundlage des Verschlüsselungskontextes in einem kryptografischen Vorgang. Dieser Bedingungsschlüssel bewertet nur den Schlüssel in jedem Verschlüsselungskontext-Paar	ArrayOfString
kms:ExpirationModel	Filtert den Zugriff auf den ImportKeyMaterial Vorgang basierend auf dem Wert des ExpirationModel Parameters in der Anforderung	String
kms:GrantConstraintType	Filtert den Zugriff auf den CreateGrant Vorgang auf der Grundlage der Gewährungsbeschränkung in der Anfrage	String
kms:GrantIsForAWSResource	Filtert den Zugriff auf den CreateGrant Vorgang, wenn die Anfrage von einem bestimmten AWS Dienst stammt	Bool
kms:GrantOperations	Filtert den Zugriff auf die CreateGrant Operation basierend auf den Vorgängen im Zuschuss	ArrayOfString
kms:GranteePrincipal	Filtert den Zugriff auf den CreateGrant Vorgang auf der Grundlage des Prinzipals des Empfängers im Zuschuss	String
kms:KeyAgreementAlgorithm	Filtert den Zugriff auf den DeriveSharedSecret Vorgang basierend auf dem Wert des KeyAgreementAlgorithm Parameters in der Anforderung	String
kms:KeyOrigin	Filtert den Zugriff auf eine API-Operation auf der Grundlage der Origin-Eigenschaft des AWS KMS-Schlüssels, der durch den Vorgang erstellt oder in dem Vorgang verwendet wurde. Verwenden Sie diese Option, um die Autorisierung des CreateKey Vorgangs oder eines beliebigen Vorgangs, der für einen KMS-Schlüssel autorisiert ist, zu qualifizieren	String
kms:KeySpec	Filtert den Zugriff auf einen API-Vorgang auf der Grundlage der KeySpec Eigenschaft des AWS KMS-Schlüssels, der durch den Vorgang erstellt oder in dem Vorgang verwendet wurde. Verwenden Sie es, um die Autorisierung des CreateKey Vorgangs oder eines beliebigen Vorgangs, der für eine KMS-Schlüsselressource autorisiert ist, zu qualifizieren	String
kms:KeyUsage	Filtert den Zugriff auf eine API-Operation auf der Grundlage der KeyUsage Eigenschaft des AWS KMS-Schlüssels, der durch den Vorgang erstellt oder in dem Vorgang verwendet wurde. Verwenden Sie es, um die Autorisierung des CreateKey Vorgangs oder eines beliebigen Vorgangs, der für eine KMS-Schlüsselressource autorisiert ist, zu qualifizieren	String
kms:MacAlgorithm	Filtert den Zugriff auf die VerifyMac Operationen GenerateMac und auf der Grundlage des MacAlgorithm Parameters in der Anforderung	String
kms:MessageType	Filtert den Zugriff auf die Operationen „Signieren“ und „Überprüfen“ auf der Grundlage des MessageType Parameterwerts in der Anforderung	String
kms:MultiRegion	Filtert den Zugriff auf eine API-Operation auf der Grundlage der MultiRegion Eigenschaft des AWS KMS-Schlüssels, der durch den Vorgang erstellt oder in dem Vorgang verwendet wurde. Verwenden Sie es, um die Autorisierung des CreateKey Vorgangs oder eines beliebigen Vorgangs, der für eine KMS-Schlüsselressource autorisiert ist, zu qualifizieren	Bool
kms:MultiRegionKeyType	Filtert den Zugriff auf eine API-Operation auf der Grundlage der MultiRegionKeyType Eigenschaft des AWS KMS-Schlüssels, der durch den Vorgang erstellt oder in dem Vorgang verwendet wurde. Verwenden Sie es, um die Autorisierung des CreateKey Vorgangs oder eines beliebigen Vorgangs, der für eine KMS-Schlüsselressource autorisiert ist, zu qualifizieren	String
kms:PrimaryRegion	Filtert den Zugriff auf den UpdatePrimaryRegion Vorgang basierend auf dem Wert des PrimaryRegion Parameters in der Anforderung	String
kms:ReEncryptOnSameKey	Filtert den Zugriff auf den ReEncrypt Vorgang, wenn er denselben AWS KMS-Schlüssel verwendet, der für den Verschlüsselungsvorgang verwendet wurde	Bool
kms:RecipientAttestation:ImageSha384	Filtert den Zugriff auf die API-Operationen auf der Grundlage des Bild-Hash im Bestätigungsdokument in der Anfrage	String
kms:RecipientAttestation:NitroTPMPCR0	Filtert den Zugriff nach dem Plattformkonfigurationsregister (PCR) 0 im Bescheinigungsdokument in der Anfrage. PCR0 ist ein zusammenhängendes Maß für den ausführbaren Code der Kernsystem-Firmware	String
kms:RecipientAttestation:NitroTPMPCR1	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 1 im Bescheinigungsdokument in der Anfrage. PCR1 ist ein zusammenhängendes Maß für die Konfiguration der data/host Kernsystem-Firmware-Plattform, die in der Regel Serien- und Modellnummern umfasst	String
kms:RecipientAttestation:NitroTPMPCR10	Filtert den Zugriff anhand des Plattformkonfigurationsregisters (PCR) 10 im Bescheinigungsdokument in der Anfrage. PCR10 ist eine zusammenhängende Schutzmaßnahme für das IMA-Messprotokoll	String
kms:RecipientAttestation:NitroTPMPCR11	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 11 im Bescheinigungsdokument in der Anfrage. PCR11 ist ein zusammenhängendes Maß für alle Komponenten einheitlicher Kernel-Images () UKIs	String
kms:RecipientAttestation:NitroTPMPCR12	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 12 im Bescheinigungsdokument in der Anfrage. PCR12 ist ein zusammenhängendes Maß für die Kernel-Befehlszeile, die Systemanmeldedaten und die Systemkonfigurationsimages	String
kms:RecipientAttestation:NitroTPMPCR13	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 13 im Bescheinigungsdokument in der Anfrage. PCR13 ist ein zusammenhängendes Maß für alle Systemerweiterungs-Images für die initrd	String
kms:RecipientAttestation:NitroTPMPCR14	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 14 im Bescheinigungsdokument in der Anfrage. PCR14 ist eine zusammenhängende Zahl von „MOK“ -Zertifikaten und -Hashes	String
kms:RecipientAttestation:NitroTPMPCR15	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 15 im Bescheinigungsdokument in der Anfrage. PCR15 ist ein zusammenhängendes Maß für den Verschlüsselungsschlüssel für das Root-Dateisystem-Volume	String
kms:RecipientAttestation:NitroTPMPCR16	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 16 im Bestätigungsdokument in der Anfrage. PCR16 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR17	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 17 im Bescheinigungsdokument in der Anfrage. PCR17 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR18	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 18 im Bescheinigungsdokument in der Anfrage. PCR18 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR19	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 19 im Bescheinigungsdokument in der Anfrage. PCR19 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR2	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 2 im Bestätigungsdokument in der Anfrage. PCR2 ist ein zusammenhängendes Maß an erweitertem oder austauschbarem ausführbarem Code, einschließlich der Option auf austauschbarer Hardware ROMs	String
kms:RecipientAttestation:NitroTPMPCR20	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 20 im Bescheinigungsdokument in der Anfrage. PCR20 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR21	Filtert den Zugriff nach dem Plattformkonfigurationsregister (PCR) 21 im Bescheinigungsdokument in der Anfrage. PCR21 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR22	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 22 im Bescheinigungsdokument in der Anfrage. PCR22 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR23	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 23 im Bescheinigungsdokument in der Anfrage. PCR23 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR3	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 3 im Bestätigungsdokument in der Anfrage. PCR3 ist ein zusammenhängendes Maß an erweiterten oder steckbaren Firmware-Daten, einschließlich Informationen über steckbare Hardware	String
kms:RecipientAttestation:NitroTPMPCR4	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 4 im Bescheinigungsdokument in der Anfrage. PCR4 ist ein zusammenhängendes Maß für den Bootloader und zusätzliche Treiber, einschließlich Binärdateien und Erweiterungen, die vom Bootloader geladen werden	String
kms:RecipientAttestation:NitroTPMPCR5	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 5 im Bescheinigungsdokument in der Anfrage. PCR5 ist eine zusammenhängende Maßeinheit der Tabelle GPT/Partition	String
kms:RecipientAttestation:NitroTPMPCR6	Filtert den Zugriff nach dem Plattformkonfigurationsregister (PCR) 6 im Bescheinigungsdokument in der Anfrage. PCR6 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:NitroTPMPCR7	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 7 im Bestätigungsdokument in der Anfrage. PCR7 ist ein zusammenhängendes Maß für den Zustand SecureBoot	String
kms:RecipientAttestation:NitroTPMPCR8	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 8 im Bescheinigungsdokument in der Anfrage. PCR8 ist ein zusammenhängendes Maß aus Befehlen und Kernel-Befehlszeile	String
kms:RecipientAttestation:NitroTPMPCR9	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 9 im Bestätigungsdokument in der Anfrage. PCR9 ist ein zusammenhängendes Maß für alle gelesenen Dateien (einschließlich Kernel-Image)	String
kms:RecipientAttestation:PCR0	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 0 im Bestätigungsdokument in der Anfrage. PCR0 ist ein zusammenhängendes Maß für den Inhalt der Enklave-Imagedatei ohne die Abschnittsdaten	String
kms:RecipientAttestation:PCR1	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 1 im Bescheinigungsdokument in der Anfrage. PCR1 ist eine zusammenhängende Messung der Linux-Kernel- und Bootstrap-Daten	String
kms:RecipientAttestation:PCR10	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 10 im Bestätigungsdokument in der Anfrage. PCR10 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR11	Filtert den Zugriff nach dem Plattformkonfigurationsregister (PCR) 11 im Bescheinigungsdokument in der Anfrage. PCR11 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR12	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 12 im Bescheinigungsdokument in der Anfrage. PCR12 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR13	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 13 im Bescheinigungsdokument in der Anfrage. PCR13 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR14	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 14 im Bescheinigungsdokument in der Anfrage. PCR14 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR15	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 15 im Bescheinigungsdokument in der Anfrage. PCR15 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR16	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 16 im Bescheinigungsdokument in der Anfrage. PCR16 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR17	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 17 im Bescheinigungsdokument in der Anfrage. PCR17 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR18	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 18 im Bescheinigungsdokument in der Anfrage. PCR18 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR19	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 19 im Bescheinigungsdokument in der Anfrage. PCR19 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR2	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 2 im Bestätigungsdokument in der Anfrage. PCR2 ist eine zusammenhängende Messung der Benutzeranwendungen in der richtigen Reihenfolge, ohne die Boot-Ramfs	String
kms:RecipientAttestation:PCR20	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 20 im Bescheinigungsdokument in der Anfrage. PCR20 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR21	Filtert den Zugriff nach dem Plattformkonfigurationsregister (PCR) 21 im Bescheinigungsdokument in der Anfrage. PCR21 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR22	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 22 im Bescheinigungsdokument in der Anfrage. PCR22 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR23	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 23 im Bescheinigungsdokument in der Anfrage. PCR23 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR24	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 24 im Bescheinigungsdokument in der Anfrage. PCR24 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR25	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 25 im Bescheinigungsdokument in der Anfrage. PCR25 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR26	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 26 im Bescheinigungsdokument in der Anfrage. PCR26 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR27	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 27 im Bescheinigungsdokument in der Anfrage. PCR27 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR28	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 28 im Bescheinigungsdokument in der Anfrage. PCR28 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR29	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 29 im Bescheinigungsdokument in der Anfrage. PCR29 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR3	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 3 im Bestätigungsdokument in der Anfrage. PCR3 ist eine zusammenhängende Messung der IAM-Rolle, die der übergeordneten Instance zugewiesen ist	String
kms:RecipientAttestation:PCR30	Filtert den Zugriff nach dem Plattformkonfigurationsregister (PCR) 30 im Bescheinigungsdokument in der Anfrage. PCR30 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR31	Filtert den Zugriff nach dem Plattformkonfigurationsregister (PCR) 31 im Bescheinigungsdokument in der Anfrage. PCR31 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR4	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 4 im Bestätigungsdokument in der Anfrage. PCR4 ist eine zusammenhängende Messung der ID der übergeordneten Instanz	String
kms:RecipientAttestation:PCR5	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 5 im Bescheinigungsdokument in der Anfrage. PCR5 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR6	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 6 im Bestätigungsdokument in der Anfrage. PCR6 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR7	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 7 im Bestätigungsdokument in der Anfrage. PCR7 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:RecipientAttestation:PCR8	Filtert den Zugriff über das Plattformkonfigurationsregister (PCR) 8 im Bestätigungsdokument in der Anfrage. PCR8 ist ein Maß für das Signaturzertifikat, das für die Enklave-Image-Datei angegeben wurde	String
kms:RecipientAttestation:PCR9	Filtert den Zugriff durch das Plattformkonfigurationsregister (PCR) 9 im Bescheinigungsdokument in der Anfrage. PCR9 ist eine benutzerdefinierte PCR, die vom Benutzer für bestimmte Anwendungsfälle definiert werden kann	String
kms:ReplicaRegion	Filtert den Zugriff auf die ReplicateKey Operation basierend auf dem Wert des ReplicaRegion Parameters in der Anfrage	String
kms:RequestAlias	Filtert den Zugriff auf kryptografische Operationen und GetPublicKey basiert auf dem Alias in der Anfrage DescribeKey	String
kms:ResourceAliases	Filtert den Zugriff auf bestimmte AWS KMS-Operationen auf der Grundlage von Aliasnamen, die AWS dem KMS-Schlüssel zugeordnet sind	ArrayOfString
kms:RetiringPrincipal	Filtert den Zugriff auf den CreateGrant Vorgang auf der Grundlage des ausscheidenden Schulleiters im Zuschuss	String
kms:RotationPeriodInDays	Filtert den Zugriff auf den EnableKeyRotation Vorgang basierend auf dem Wert des RotationPeriodInDays Parameters in der Anforderung	Numerischer Wert
kms:ScheduleKeyDeletionPendingWindowInDays	Filtert den Zugriff auf den ScheduleKeyDeletion Vorgang basierend auf dem Wert des PendingWindowInDays Parameters in der Anforderung	Numerischer Wert
kms:SigningAlgorithm	Filtert den Zugriff auf die Sign- und Verify-Produktionen basierend auf dem Signaturalgorithmus in der Anforderung	String
kms:ValidTo	Filtert den Zugriff auf den ImportKeyMaterial Vorgang basierend auf dem Wert des ValidTo Parameters in der Anforderung. Sie können diesen Bedingungsschlüssel verwenden, um Benutzern das Importieren von Schlüsselmaterial nur dann zu erlauben, wenn es zum angegebenen Datum abläuft.	Datum
kms:ViaService	Filtert den Zugriff, wenn eine im Namen des Prinzipals gestellte Anfrage von einem bestimmten AWS Dienst stammt	String
kms:WrappingAlgorithm	Filtert den Zugriff auf den GetParametersForImport Vorgang basierend auf dem Wert des WrappingAlgorithm Parameters in der Anfrage	String
kms:WrappingKeySpec	Filtert den Zugriff auf den GetParametersForImport Vorgang basierend auf dem Wert des WrappingKeySpec Parameters in der Anforderung	String

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon Kendra Intelligent Ranking

Amazon Keyspaces (for Apache Cassandra)