As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Permissões para AWS serviços nas principais políticas Muitos AWS serviços são usados AWS KMS keys para proteger os recursos que gerenciam. Quando um serviço usa [Chaves pertencentes à AWS](concepts.md#aws-owned-key) ou [Chaves gerenciadas pela AWS](concepts.md#aws-managed-key), o serviço estabelece e mantém as políticas de chaves para essas chaves do KMS. No entanto, ao usar uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key) com um serviço da AWS , você é quem define e mantém a política de chaves. Essa política de chaves deve conceder ao serviço as permissões mínimas necessárias para proteger o recurso em seu nome. Recomendamos seguir o princípio de privilégio mínimo: conceda ao serviço apenas as permissões necessárias. Você pode fazer isso de forma eficaz aprendendo quais permissões o serviço precisa e usando [chaves de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) e [chaves de condição do AWS KMS](policy-conditions.md) para refinar as permissões. Para encontrar as permissões que o serviço exige em uma chave gerenciada pelo cliente, consulte a documentação de criptografia do serviço. A lista a seguir inclui links para a documentação de alguns serviços: + **AWS CloudTrail**permissões - [Configure as AWS KMS principais políticas para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-decrypt) + Permissões do **Amazon Elastic Block Store**: [Guia do usuário do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#ebs-encryption-permissions) + Permissões do **AWS Lambda**: [criptografia de dados em repouso para o Lambda](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) + Permissões do **Amazon Q**: [criptografia de dados para o Amazon Q](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/data-encryption.html) + Permissões do **Amazon Relational Database Service**: [gerenciamento de chave do AWS KMS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.Keys.html) + Permissões da **AWS Secrets Manager**: [autorização de uso da chave do KMS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) + Permissões do **Amazon Simple Queue Service**: [gerenciamento de chave do Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)