AWS KMSPermissões

Esta tabela foi projetada para ajudar você a entender as permissões do AWS KMS para que você possa controlar o acesso a seus recursos do AWS KMS. As definições dos cabeçalhos das colunas aparecem abaixo da tabela.

Você também pode aprender sobre as permissões do AWS KMS no tópico Ações, recursos e chaves de condição para o AWS Key Management Service da Referência de autorização de serviço. No entanto, esse tópico não lista todas as chaves de condição que você pode usar para refinar cada permissão.

Para obter mais informações sobre quais operações do AWS KMS são válidas para chaves de criptografia simétrica do KMS, chaves do KMS assimétricas e chaves do KMS HMAC, consulte o Referência de tipos de chaves.

nota

Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados da tabela.

Ações e permissões	Tipo de política	Uso entre contas	Recursos (para políticas do IAM)	AWS KMSChaves de condição do
CancelKeyDeletion `kms:CancelKeyDeletion`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	Política do IAM	Não	`*`	kms:CallerAccount
CreateAlias `kms:CreateAlias` Para usar essa operação, o chamador precisa da permissão `kms:CreateAlias` em dois recursos: O alias (em uma política do IAM) A chave do KMS (em uma política de chaves) Para obter detalhes, consulte Controlar o acesso a aliases.	Política do IAM (para o alias)	Não	Alias	Nenhum (quando controlar o acesso ao alias)
	Política de chaves (para a chave do KMS)	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	Política do IAM	Não	`*`	kms:CallerAccount
CreateGrant `kms:CreateGrant`	Política de chave	Sim	Chave do KMS	Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições de concessão: kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
CreateKey `kms:CreateKey`	Política do IAM	Não	`*`	kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService aws:RequestTag/tag-key (chave de condição global da AWS) aws:ResourceTag/tag-key (chave de condição global da AWS) aws:TagKeys (chave de condição global da AWS)
Decrypt `kms:Decrypt`	Política de chave	Sim	Chave do KMS	Condições para operações criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
DeleteAlias `kms:DeleteAlias` Para usar essa operação, o chamador precisa da permissão `kms:DeleteAlias` em dois recursos: O alias (em uma política do IAM) A chave do KMS (em uma política de chaves) Para obter detalhes, consulte Controlar o acesso a aliases.	Política do IAM (para o alias)	Não	Alias	Nenhum (quando controlar o acesso ao alias)
	Política de chaves (para a chave do KMS)	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	Política do IAM	Não	`*`	kms:CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
DeriveSharedSecret `kms:DeriveSharedSecret`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Condições para operações criptográficas: kms:KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	Política do IAM	Não	`*`	kms:CallerAccount
DescribeKey `kms:DescribeKey`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:RequestAlias
DisableKey `kms:DisableKey`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	Política do IAM	Não	`*`	kms:CallerAccount
EnableKey `kms:EnableKey`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Condições de alternância automática de chaves: kms:RotationPeriodInDays
Encrypt `kms:Encrypt`	Política de chave	Sim	Chave do KMS	Condições para operações criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GenerateDataKey `kms:GenerateDataKey`	Política de chave	Sim	Chave do KMS	Condições para operações criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Política de chave	Sim	Chave do KMS Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.	Condições para pares de chaves de dados: kms:DataKeyPairSpec Condições para operações criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Política de chave	Sim	Chave do KMS Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.	Condições para pares de chaves de dados: kms:DataKeyPairSpec Condições para operações criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Política de chave	Sim	Chave do KMS	Condições para operações criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GenerateMac `kms:GenerateMac`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Condições para operações criptográficas: kms:MacAlgorithm kms:RequestAlias
GenerateRandom `kms:GenerateRandom`	Política do IAM	N/D	`*`	Nenhum
GetKeyPolicy `kms:GetKeyPolicy`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GetParametersForImport `kms:GetParametersForImport`	Política de chave	Não	Chave do KMS	kms:WrappingAlgorithm kms:WrappingKeySpec Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
GetPublicKey `kms:GetPublicKey`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:ExpirationModel kms:ValidTo
ListAliases `kms:ListAliases`	Política do IAM	Não	`*`	Nenhum
ListGrants `kms:ListGrants`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:GrantIsForAWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
ListKeyRotations `kms:ListKeyRotations`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
ListKeys `kms:ListKeys`	Política do IAM	Não	`*`	Nenhum
ListResourceTags `kms:ListResourceTags`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
ListRetirableGrants `kms:ListRetirableGrants`	Política do IAM	A entidade principal especificada deve estar na conta local, mas a operação retorna concessões em todas as contas.	`*`	Nenhum
PutKeyPolicy `kms:PutKeyPolicy`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Para usar essa operação, o autor da chamada precisa de permissão em duas chaves do KMS: `kms:ReEncryptFrom` na chave do KMS usada para descriptografar `kms:ReEncryptTo` na chave do KMS usada para criptografar	Política de chave	Sim	Chave do KMS	Condições para operações criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Para usar essa operação, o autor da chamada precisa das seguintes permissões: `kms:ReplicateKey` na chave primária de várias regiões `kms:CreateKey` em uma política do IAM na região de réplica	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:ReplicaRegion
RetireGrant `kms:RetireGrant` A permissão para retirar uma concessão é determinada principalmente pela concessão. Uma política por si só não pode permitir o acesso a essa operação. Para obter mais informações, consulte Retirar e revogar concessões.	Política do IAM (Essa permissão não é eficaz em uma política de chave.)	Sim	Chave do KMS	Condições para contexto de criptografia: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condições de concessão: kms:GrantConstraintType Condições para operações de chave do KMS: kms:CallerAccount kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
RevokeGrant `kms:RevokeGrant`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições: kms:GrantIsForAWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
Sign `kms:Sign`	Política de chave	Sim	Chave do KMS	Condições para assinatura e verificação: kms:MessageType kms:RequestAlias kms:SigningAlgorithm Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
TagResource `kms:TagResource`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Condições para marcação: aws:RequestTag/tag-key (chave de condição global da AWS) aws:TagKeys (chave de condição global da AWS)
UntagResource `kms:UntagResource`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Condições para marcação: aws:RequestTag/tag-key (chave de condição global da AWS) aws:TagKeys (chave de condição global da AWS)
UpdateAlias `kms:UpdateAlias` Para usar essa operação, o chamador precisa da permissão `kms:UpdateAlias` em três recursos: O alias A chave do KMS atualmente associada A chave do KMS recém-associada Para obter detalhes, consulte Controlar o acesso a aliases.	Política do IAM (para o alias)	Não	Alias	Nenhum (quando controlar o acesso ao alias)
	Política de chaves (para as chaves do KMS)	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	Política do IAM	Não	`*`	kms:CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Para usar essa operação, o autor da chamada precisa da permissão `kms:UpdatePrimaryRegion` na chave primária de várias regiões que se tornará uma chave de réplica e também na chave de réplica de várias regiões que se tornará a chave primária.	Política de chave	Não	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Outras condições kms:PrimaryRegion
Verificar `kms:Verify`	Política de chave	Sim	Chave do KMS	Condições para assinatura e verificação: kms:MessageType kms:RequestAlias kms:SigningAlgorithm Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService
VerifyMac `kms:VerifyMac`	Política de chave	Sim	Chave do KMS	Condições para operações de chave do KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (chave de condição global da AWS) kms:ViaService Condições para operações criptográficas: kms:MacAlgorithm kms:RequestAlias

Descrições das colunas

As colunas nesta tabela fornecem as seguintes informações:

Ações e permissões lista cada operação da API dp AWS KMS e a permissão que permite essa operação. Você especifica a operação no elemento Action de uma instrução de política.
Tipo de política indica se a permissão pode ser usada em uma política de chaves ou política do IAM.

Política de chaves significa que você pode especificar a permissão na política de chaves. Quando a política de chaves contém a instrução de política que permite políticas do IAM, você pode especificar as permissões em uma política do IAM.

Política do IAM significa que você pode especificar a permissão apenas em uma política do IAM.
Uso entre contas mostra as operações que os usuários autorizados podem executar em recursos em uma Conta da AWS diferente.

Um valor de Yes (Sim) significa que as entidades principais podem executar a operação em recursos em uma Conta da AWS diferente.

Um valor de No (Não) significa que as entidades principais podem executar a operação somente em recursos da própria Conta da AWS.

Se você conceder a uma entidade principal em uma conta diferente uma permissão que não pode ser usada em um recurso entre contas, essa permissão não será efetiva. Por exemplo, se você fornecer a uma entidade principal em uma conta diferente a permissão kms:TagResource para uma chave do KMS na sua conta, suas tentativas de marcar a chave do KMS na sua conta falharão.
Resources (Recursos) lista os recursos do AWS KMS aos quais as permissões se aplicam. O AWS KMS é compatível com dois tipos de recursos: uma chave do KMS e um alias. Em uma política de chaves, o valor do elemento Resource é sempre *, o que indica a chave do KMS à qual a política de chaves está anexada.

Use os valores a seguir para representar um recurso do AWS KMS em uma política do IAM.

Chave do KMS

Quando o recurso for uma chave do KMS, use seu ARN de chave. Para obter ajuda, consulte Encontrar o ID e o ARN da chave.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Por exemplo:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Quando o recurso for um alias, use seu ARN do alias. Para obter ajuda, consulte Encontrar o nome e o ARN do alias para uma chave do KMS.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Por exemplo:

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

* (asterisco)

Quando a permissão não se aplicar a um recurso específico (chave do KMS ou alias), use um asterisco (*).

Em uma política do IAM para uma permissão do AWS KMS, um asterisco no elemento Resource indica todos os recursos do AWS KMS (chaves do KMS e aliases). Também é possível usar um asterisco no elemento Resource quando a permissão do AWS KMS não se aplica a uma chave do KMS ou alias específico. Por exemplo, ao permitir ou negar a permissão kms:CreateKey ou kms:ListKeys, você deve definir o elemento Resource como *.
Chaves de condição do AWS KMS lista as chaves de condição do AWS KMS que é possível usar para controlar o acesso à operação. Especifique as condições no elemento Condition de uma política. Para obter mais informações, consulte AWS KMS chaves de condição. Essa coluna também inclui chaves de condição global da AWS as quais têm suporte no AWS KMS, mas não em todos os serviços da AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Referência de especificação de chave

AWS KMSOperações internas do