Ações Tipos de recursos Chaves de condição

Ações, recursos e chaves de condição do AWS Key Management Service

AWS O Key Management Service (prefixo do serviço:kms) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.

Referências:

Saiba como configurar este serviço.
Visualize uma lista das operações de API disponíveis para este serviço.
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.

Tópicos

Ações definidas pelo AWS Key Management Service
Tipos de recursos definidos pelo AWS Key Management Service
Chaves de condição do AWS Key Management Service

Ações definidas pelo AWS Key Management Service

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Nível de acesso da tabela Ações descreve como a ação é classificada (Lista, Leitura, Gerenciamento de permissões ou Marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre os níveis de acesso, consulte Níveis de acesso nos resumos das políticas.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

A coluna Ações dependentes da tabela Ações mostra permissões adicionais que podem ser necessárias para chamar uma ação com êxito. Essas permissões podem ser necessárias além da permissão para a ação em si. Quando uma ação especifica ações dependentes, essas dependências podem se aplicar a recursos adicionais definidos para essa ação, não somente ao primeiro recurso listado na tabela.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações	Descrição	Nível de acesso	Tipos de recursos (*necessários)	Chaves de condição	Ações dependentes
CancelKeyDeletion	Controla a permissão para cancelar a exclusão programada de uma chave AWS KMS	Gravar	key*
CancelKeyDeletion		Gravar		kms:CallerAccount kms:ViaService
ConnectCustomKeyStore	Controla a permissão para conectar ou reconectar um armazenamento de chaves personalizado ao cluster AWS CloudHSM associado ou ao gerenciador de chaves externo fora do AWS	Gravar		kms:CallerAccount
CreateAlias	Controla a permissão para criar um alias para uma chave AWS KMS. Aliases são nomes amigáveis opcionais que você pode associar às chaves KMS	Gravar	alias*
			key*
				kms:CallerAccount kms:ViaService
CreateCustomKeyStore	Controla a permissão para criar um armazenamento de chaves personalizado que é apoiado por um cluster do AWS CloudHSM ou por um gerenciador de chaves externo fora do AWS	Gravar		kms:CallerAccount	cloudhsm:DescribeClusters iam:CreateServiceLinkedRole
CreateGrant	Controla a permissão para adicionar uma concessão a uma chave AWS KMS. Você pode usar concessões para adicionar permissões sem alterar a política de chaves ou a política do IAM	Gerenciamento de permissões	key*
CreateGrant		Gerenciamento de permissões		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal kms:ViaService
CreateKey	Controla a permissão para criar uma chave AWS KMS que pode ser usada para proteger chaves de dados e outras informações confidenciais	Gravar		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService	iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource
Decrypt	Controla a permissão para descriptografar texto cifrado que foi criptografado sob uma chave KMS AWS	Gravar	key*
Decrypt		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DeleteAlias	Controla a permissão para excluir um alias. Os aliases são nomes amigáveis opcionais que você pode associar às chaves AWS KMS.	Gravar	alias*
			key*
				kms:CallerAccount kms:ViaService
DeleteCustomKeyStore	Controla a permissão para excluir um armazenamento de chaves personalizado	Gravar		kms:CallerAccount
DeleteImportedKeyMaterial	Controla a permissão para excluir material criptográfico que você importou para uma chave AWS KMS. Esta ação torna a chave inutilizável	Gravar	key*
DeleteImportedKeyMaterial		Gravar		kms:CallerAccount kms:ViaService
DeriveSharedSecret	Controla a permissão para usar a chave AWS KMS especificada para derivar segredos compartilhados	Gravar	key*
DeriveSharedSecret		Gravar		kms:CallerAccount kms:KeyAgreementAlgorithm kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DescribeCustomKeyStores	Controla a permissão para exibir informações detalhadas sobre armazenamentos de chaves personalizadas na conta e região	Leitura		kms:CallerAccount
DescribeKey	Controla a permissão para visualizar informações detalhadas sobre uma chave AWS KMS	Leitura	key*
DescribeKey		Leitura		kms:CallerAccount kms:RequestAlias kms:ViaService
DisableKey	Controla a permissão para desativar uma chave AWS KMS, o que impede que ela seja usada em operações criptográficas	Gravar	key*
DisableKey		Gravar		kms:CallerAccount kms:ViaService
DisableKeyRotation	Controla a permissão para desativar a rotação automática de uma chave AWS KMS gerenciada pelo cliente	Gravar	key*
DisableKeyRotation		Gravar		kms:CallerAccount kms:ViaService
DisconnectCustomKeyStore	Controla a permissão para desconectar o armazenamento de chaves personalizadas do cluster AWS CloudHSM associado ou do gerenciador de chaves externo fora do AWS	Gravar		kms:CallerAccount
EnableKey	Controla a permissão para alterar o estado de uma chave AWS KMS para ativada. Isso permite que a chave KMS seja usada em operações criptográficas	Gravar	key*
EnableKey		Gravar		kms:CallerAccount kms:ViaService
EnableKeyRotation	Controla a permissão para ativar a rotação automática do material criptográfico em uma chave AWS KMS	Gravar	key*
EnableKeyRotation		Gravar		kms:CallerAccount kms:RotationPeriodInDays kms:ViaService
Encrypt	Controla a permissão para usar a chave AWS KMS especificada para criptografar dados e chaves de dados	Gravar	key*
Encrypt		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKey	Controla a permissão para usar a chave AWS KMS para gerar chaves de dados. Você pode usar as chaves de dados para criptografar dados fora do KMS AWS	Gravar	key*
GenerateDataKey		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPair	Controla a permissão para usar a chave AWS KMS para gerar pares de chaves de dados	Gravar	key*
GenerateDataKeyPair		Gravar		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPairWithoutPlaintext	Controla a permissão para usar a chave AWS KMS para gerar pares de chaves de dados. Diferentemente da GenerateDataKeyPair operação, essa operação retorna uma chave privada criptografada sem uma cópia em texto simples	Gravar	key*
GenerateDataKeyPairWithoutPlaintext		Gravar		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyWithoutPlaintext	Controla a permissão para usar a chave AWS KMS para gerar uma chave de dados. Diferentemente da GenerateDataKey operação, essa operação retorna uma chave de dados criptografada sem uma versão em texto simples da chave de dados	Gravar	key*
GenerateDataKeyWithoutPlaintext		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateMac	Controla a permissão para usar a chave AWS KMS para gerar códigos de autenticação de mensagens	Gravar	key*
GenerateMac		Gravar		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService
GenerateRandom	Controla a permissão para obter uma string de bytes aleatória criptograficamente segura do KMS AWS	Gravar		kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31
GetKeyPolicy	Controla a permissão para visualizar a política de chaves para a chave AWS KMS especificada	Leitura	key*
GetKeyPolicy		Leitura		kms:CallerAccount kms:ViaService
GetKeyRotationStatus	Controla a permissão para visualizar o status de rotação da chave de uma chave AWS KMS	Leitura	key*
GetKeyRotationStatus		Leitura		kms:CallerAccount kms:ViaService
GetParametersForImport	Controla a permissão para obter dados necessários para importar material criptográfico para uma chave gerenciada pelo cliente, incluindo uma chave pública e um token de importação	Leitura	key*
GetParametersForImport		Leitura		kms:CallerAccount kms:ViaService kms:WrappingAlgorithm kms:WrappingKeySpec
GetPublicKey	Controla a permissão para baixar a chave pública de uma chave KMS assimétrica AWS	Leitura	key*
GetPublicKey		Leitura		kms:CallerAccount kms:RequestAlias kms:ViaService
ImportKeyMaterial	Controla a permissão para importar material criptográfico em uma chave AWS KMS	Gravar	key*
ImportKeyMaterial		Gravar		kms:CallerAccount kms:ExpirationModel kms:ValidTo kms:ViaService
ListAliases	Controla a permissão para visualizar os alias definidos na conta. Os aliases são nomes amigáveis opcionais que você pode associar às chaves AWS KMS.	Lista
ListGrants	Controla a permissão para visualizar todas as concessões de uma AWS chave KMS	Lista	key*
ListGrants		Lista		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ListKeyPolicies	Controla a permissão para visualizar os nomes das políticas de chave de uma chave AWS KMS	Lista	key*
ListKeyPolicies		Lista		kms:CallerAccount kms:ViaService
ListKeyRotations	Controla a permissão para visualizar a lista dos principais materiais de uma chave AWS KMS	Lista	key*
ListKeyRotations		Lista		kms:CallerAccount kms:ViaService
ListKeys	Controla a permissão para visualizar o ID da chave e o Amazon Resource Name (ARN) de todas as chaves AWS KMS na conta	Lista
ListResourceTags	Controla a permissão para visualizar todas as tags anexadas a uma chave AWS KMS	Lista	key*
ListResourceTags		Lista		kms:CallerAccount kms:ViaService
ListRetirableGrants	Controla a permissão para visualizar concessões nas quais a entidade principal especificada é a entidade principal que está sendo desativada. Outros primários talvez consigam retirar a concessão e este principal talvez possa retirar outras concessões	Lista
PutKeyPolicy	Controla a permissão para substituir a política de chaves pela chave AWS KMS especificada	Gerenciamento de permissões	key*
PutKeyPolicy		Gerenciamento de permissões		kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:ViaService
ReEncryptFrom	Controla a permissão para descriptografar dados como parte do processo que descriptografa e recriptografa os dados no KMS AWS	Gravar	key*
ReEncryptFrom		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReEncryptTo	Controla a permissão para criptografar dados como parte do processo que descriptografa e recriptografa os dados no KMS AWS	Gravar	key*
ReEncryptTo		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReplicateKey	Controla a permissão para replicar uma chave primária de várias regiões	Write	key*		iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource
ReplicateKey		Write		kms:CallerAccount kms:ReplicaRegion kms:ViaService
RetireGrant	Controla a permissão para desativar uma concessão. A RetireGrant operação geralmente é chamada pelo usuário da concessão depois que ele conclui as tarefas que a concessão permitiu que ele realizasse.	Gerenciamento de permissões	key*
RetireGrant		Gerenciamento de permissões		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:ViaService
RevokeGrant	Controla a permissão para revogar uma concessão, que nega permissão para todas as operações que dependem da concessão	Gerenciamento de permissões	key*
RevokeGrant		Gerenciamento de permissões		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
RotateKeyOnDemand	Controla a permissão para invocar a rotação sob demanda do material criptográfico em uma chave KMS AWS	Gravar	key*
RotateKeyOnDemand		Gravar		kms:CallerAccount kms:ViaService
ScheduleKeyDeletion	Controla a permissão para agendar a exclusão de uma chave AWS KMS	Gravar	key*
ScheduleKeyDeletion		Gravar		kms:CallerAccount kms:ScheduleKeyDeletionPendingWindowInDays kms:ViaService
Sign	Controla a permissão para produzir uma assinatura digital para uma mensagem	Write	key*
Sign		Write		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
SynchronizeMultiRegionKey [somente permissão]	Controla o acesso a chaves internas APIs que sincronizam chaves multirregionais	Gravar	key*
TagResource	Controla a permissão para criar ou atualizar tags anexadas a uma chave AWS KMS	Tags	key*
TagResource		Tags		aws:RequestTag/${TagKey} aws:TagKeys kms:CallerAccount kms:ViaService
UntagResource	Controla a permissão para excluir tags anexadas a uma chave AWS KMS	Tags	key*
UntagResource		Tags		aws:TagKeys kms:CallerAccount kms:ViaService
UpdateAlias	Controla a permissão para associar um alias a uma chave AWS KMS diferente. Um alias é um nome amigável opcional que você pode associar a uma chave KMS	Gravar	alias*
			key*
				kms:CallerAccount kms:ViaService
UpdateCustomKeyStore	Controla a permissão para alterar as propriedades de um armazenamento de chaves personalizado	Gravar		kms:CallerAccount
UpdateKeyDescription	Controla a permissão para excluir ou alterar a descrição de uma chave AWS KMS	Gravar	key*
UpdateKeyDescription		Gravar		kms:CallerAccount kms:ViaService
UpdatePrimaryRegion	Controla a permissão para atualizar a região primária de uma chave primária de várias regiões	Gravar	key*
UpdatePrimaryRegion		Gravar		kms:CallerAccount kms:PrimaryRegion kms:ViaService
Verify	Controla a permissão para usar a chave AWS KMS especificada para verificar assinaturas digitais	Gravar	key*
Verify		Gravar		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
VerifyMac	Controla a permissão para usar a chave AWS KMS para verificar os códigos de autenticação de mensagens	Gravar	key*
VerifyMac		Gravar		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService

Tipos de recursos definidos pelo AWS Key Management Service

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição

alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}

Tipos de recursos	ARN	Chaves de condição
alias	`arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}`
key	`arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} kms:KeyOrigin kms:KeySpec kms:KeyUsage kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases

key

arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:MultiRegionKeyType

kms:ResourceAliases

Chaves de condição do AWS Key Management Service

AWS O Key Management Service define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para ver as chaves de condição globais que estão disponíveis para todos os serviços, consulte chaves de contexto de condição AWS global.

Chaves de condição	Descrição	Type
aws:RequestTag/${TagKey}	Filtra o acesso às operações AWS KMS especificadas com base na chave e no valor da tag na solicitação	String
aws:ResourceTag/${TagKey}	Filtra o acesso às operações AWS KMS especificadas com base nas tags atribuídas à chave AWS KMS	String
aws:TagKeys	Filtra o acesso às operações AWS KMS especificadas com base nas chaves de tag na solicitação	ArrayOfString
kms:BypassPolicyLockoutSafetyCheck	Filtra o acesso às PutKeyPolicy operações CreateKey e com base no valor do BypassPolicyLockoutSafetyCheck parâmetro na solicitação	Bool
kms:CallerAccount	Filtra o acesso às operações AWS KMS especificadas com base na Conta da AWS ID do chamador. Você pode usar essa chave de condição para permitir ou negar acesso a todos os usuários e funções do IAM Conta da AWS em uma única declaração de política.	String
kms:CustomerMasterKeySpec	A chave de kms: CustomerMasterKeySpec condição está obsoleta. Em vez disso, use a chave de kms: KeySpec condição	String
kms:CustomerMasterKeyUsage	A chave de kms: CustomerMasterKeyUsage condição está obsoleta. Em vez disso, use a chave de kms: KeyUsage condição	String
kms:DataKeyPairSpec	Filtra o acesso GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext as operações com base no valor do KeyPairSpec parâmetro na solicitação	String
kms:EncryptionAlgorithm	Filtra o acesso às operações de criptografia com base no valor do algoritmo de criptografia na solicitação	String
kms:EncryptionContext:${EncryptionContextKey}	Filtra o acesso a uma chave AWS KMS simétrica com base no contexto de criptografia em uma operação criptográfica. Essa condição avalia a chave e o valor em cada par de contexto de criptografia de chave-valor	String
kms:EncryptionContextKeys	Filtra o acesso a uma chave AWS KMS simétrica com base no contexto de criptografia em uma operação criptográfica. Essa chave de condição avalia somente a chave em cada par de contexto de criptografia de chave-valor	ArrayOfString
kms:ExpirationModel	Filtra o acesso à ImportKeyMaterial operação com base no valor do ExpirationModel parâmetro na solicitação	String
kms:GrantConstraintType	Filtra o acesso à CreateGrant operação com base na restrição de concessão na solicitação	String
kms:GrantIsForAWSResource	Filtra o acesso à CreateGrant operação quando a solicitação vem de um AWS serviço especificado	Bool
kms:GrantOperations	Filtra o acesso à CreateGrant operação com base nas operações da concessão	ArrayOfString
kms:GranteePrincipal	Filtra o acesso à CreateGrant operação com base no principal beneficiário da concessão	String
kms:KeyAgreementAlgorithm	Filtra o acesso à DeriveSharedSecret operação com base no valor do KeyAgreementAlgorithm parâmetro na solicitação	String
kms:KeyOrigin	Filtra o acesso a uma operação de API com base na propriedade Origin da chave AWS KMS criada ou usada na operação. Use-o para qualificar a autorização da CreateKey operação ou de qualquer operação autorizada para uma chave KMS	String
kms:KeySpec	Filtra o acesso a uma operação de API com base na KeySpec propriedade da chave AWS KMS criada ou usada na operação. Use-o para qualificar a autorização da CreateKey operação ou de qualquer operação autorizada para um recurso de chave KMS	String
kms:KeyUsage	Filtra o acesso a uma operação de API com base na KeyUsage propriedade da chave AWS KMS criada ou usada na operação. Use-o para qualificar a autorização da CreateKey operação ou de qualquer operação autorizada para um recurso de chave KMS	String
kms:MacAlgorithm	Filtra o acesso às VerifyMac operações GenerateMac e com base no MacAlgorithm parâmetro na solicitação	String
kms:MessageType	Filtra o acesso às operações de Assinar e Verificar com base no valor do MessageType parâmetro na solicitação	String
kms:MultiRegion	Filtra o acesso a uma operação de API com base na MultiRegion propriedade da chave AWS KMS criada ou usada na operação. Use-o para qualificar a autorização da CreateKey operação ou de qualquer operação autorizada para um recurso de chave KMS	Bool
kms:MultiRegionKeyType	Filtra o acesso a uma operação de API com base na MultiRegionKeyType propriedade da chave AWS KMS criada ou usada na operação. Use-o para qualificar a autorização da CreateKey operação ou de qualquer operação autorizada para um recurso de chave KMS	String
kms:PrimaryRegion	Filtra o acesso à UpdatePrimaryRegion operação com base no valor do PrimaryRegion parâmetro na solicitação	String
kms:ReEncryptOnSameKey	Filtra o acesso à ReEncrypt operação quando ela usa a mesma chave AWS KMS usada para a operação Criptografar	Bool
kms:RecipientAttestation:ImageSha384	Filtra o acesso às operações da API com base no hash da imagem no documento de atestado na solicitação	String
kms:RecipientAttestation:NitroTPMPCR0	Filtra o acesso pelo registro de configuração da plataforma (PCR) 0 no documento de atestado na solicitação. PCR0 é uma medida contígua do código executável do firmware do sistema central	String
kms:RecipientAttestation:NitroTPMPCR1	Filtra o acesso pelo registro de configuração da plataforma (PCR) 1 no documento de atestado da solicitação. PCR1 é uma medida contígua da configuração da data/host plataforma de firmware do sistema principal, normalmente incluindo números de série e de modelo	String
kms:RecipientAttestation:NitroTPMPCR10	Filtra o acesso pelo registro de configuração da plataforma (PCR) 10 no documento de atestado da solicitação. PCR10 é uma medida contígua de proteção do registro de medição IMA	String
kms:RecipientAttestation:NitroTPMPCR11	Filtra o acesso pelo registro de configuração da plataforma (PCR) 11 no documento de atestado da solicitação. PCR11 é uma medida contígua de todos os componentes das imagens unificadas do kernel () UKIs	String
kms:RecipientAttestation:NitroTPMPCR12	Filtra o acesso pelo registro de configuração da plataforma (PCR) 12 no documento de atestado da solicitação. PCR12 é uma medida contígua da linha de comando do kernel, das credenciais do sistema e das imagens de configuração do sistema	String
kms:RecipientAttestation:NitroTPMPCR13	Filtra o acesso pelo registro de configuração da plataforma (PCR) 13 no documento de atestado da solicitação. PCR13 é uma medida contígua de todas as imagens de extensão do sistema para o initrd	String
kms:RecipientAttestation:NitroTPMPCR14	Filtra o acesso pelo registro de configuração da plataforma (PCR) 14 no documento de atestado da solicitação. PCR14 é uma medida contígua de certificados e hashes “MOK”	String
kms:RecipientAttestation:NitroTPMPCR15	Filtra o acesso pelo registro de configuração da plataforma (PCR) 15 no documento de atestado da solicitação. PCR15 é uma medida contígua da chave de criptografia do volume do sistema de arquivos raiz	String
kms:RecipientAttestation:NitroTPMPCR16	Filtra o acesso pelo registro de configuração da plataforma (PCR) 16 no documento de atestado da solicitação. PCR16 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR17	Filtra o acesso pelo registro de configuração da plataforma (PCR) 17 no documento de atestado da solicitação. PCR17 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR18	Filtra o acesso pelo registro de configuração da plataforma (PCR) 18 no documento de atestado da solicitação. PCR18 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR19	Filtra o acesso pelo registro de configuração da plataforma (PCR) 19 no documento de atestado da solicitação. PCR19 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR2	Filtra o acesso pelo registro de configuração da plataforma (PCR) 2 no documento de atestado da solicitação. PCR2 é uma medida contígua do código executável estendido ou conectável, incluindo a opção em hardware conectável ROMs	String
kms:RecipientAttestation:NitroTPMPCR20	Filtra o acesso pelo registro de configuração da plataforma (PCR) 20 no documento de atestado da solicitação. PCR20 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR21	Filtra o acesso pelo registro de configuração da plataforma (PCR) 21 no documento de atestado da solicitação. PCR21 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR22	Filtra o acesso pelo registro de configuração da plataforma (PCR) 22 no documento de atestado da solicitação. PCR22 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR23	Filtra o acesso pelo registro de configuração da plataforma (PCR) 23 no documento de atestado da solicitação. PCR23 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR3	Filtra o acesso pelo registro de configuração da plataforma (PCR) 3 no documento de atestado da solicitação. PCR3 é uma medida contígua de dados de firmware estendidos ou conectáveis, incluindo informações sobre hardware conectável	String
kms:RecipientAttestation:NitroTPMPCR4	Filtra o acesso pelo registro de configuração da plataforma (PCR) 4 no documento de atestado da solicitação. PCR4 é uma medida contígua do carregador de inicialização e drivers adicionais, incluindo binários e extensões carregados pelo carregador de inicialização	String
kms:RecipientAttestation:NitroTPMPCR5	Filtra o acesso pelo registro de configuração da plataforma (PCR) 5 no documento de atestado da solicitação. PCR5 é uma medida contígua da tabela GPT/Partition	String
kms:RecipientAttestation:NitroTPMPCR6	Filtra o acesso pelo registro de configuração da plataforma (PCR) 6 no documento de atestado da solicitação. PCR6 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR7	Filtra o acesso pelo registro de configuração da plataforma (PCR) 7 no documento de atestado da solicitação. PCR7 é uma medida contígua de estado SecureBoot	String
kms:RecipientAttestation:NitroTPMPCR8	Filtra o acesso pelo registro de configuração da plataforma (PCR) 8 no documento de atestado da solicitação. PCR8 é uma medida contígua dos comandos e da linha de comando do kernel	String
kms:RecipientAttestation:NitroTPMPCR9	Filtra o acesso pelo registro de configuração da plataforma (PCR) 9 no documento de atestado da solicitação. PCR9 é uma medida contígua de todos os arquivos lidos (incluindo a imagem do kernel)	String
kms:RecipientAttestation:PCR0	Filtra o acesso pelo registro de configuração da plataforma (PCR) 0 no documento de atestado na solicitação. PCR0 é uma medida contígua do conteúdo do arquivo de imagem do enclave, sem os dados da seção	String
kms:RecipientAttestation:PCR1	Filtra o acesso pelo registro de configuração da plataforma (PCR) 1 no documento de atestado da solicitação. PCR1 é uma medida contígua do kernel Linux e dos dados de bootstrap	String
kms:RecipientAttestation:PCR10	Filtra o acesso pelo registro de configuração da plataforma (PCR) 10 no documento de atestado da solicitação. PCR10 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR11	Filtra o acesso pelo registro de configuração da plataforma (PCR) 11 no documento de atestado da solicitação. PCR11 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR12	Filtra o acesso pelo registro de configuração da plataforma (PCR) 12 no documento de atestado da solicitação. PCR12 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR13	Filtra o acesso pelo registro de configuração da plataforma (PCR) 13 no documento de atestado da solicitação. PCR13 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR14	Filtra o acesso pelo registro de configuração da plataforma (PCR) 14 no documento de atestado da solicitação. PCR14 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR15	Filtra o acesso pelo registro de configuração da plataforma (PCR) 15 no documento de atestado da solicitação. PCR15 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR16	Filtra o acesso pelo registro de configuração da plataforma (PCR) 16 no documento de atestado da solicitação. PCR16 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR17	Filtra o acesso pelo registro de configuração da plataforma (PCR) 17 no documento de atestado da solicitação. PCR17 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR18	Filtra o acesso pelo registro de configuração da plataforma (PCR) 18 no documento de atestado da solicitação. PCR18 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR19	Filtra o acesso pelo registro de configuração da plataforma (PCR) 19 no documento de atestado da solicitação. PCR19 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR2	Filtra o acesso pelo registro de configuração da plataforma (PCR) 2 no documento de atestado da solicitação. PCR2 é uma medição contínua e ordenada dos aplicativos do usuário, sem os ramfs de inicialização	String
kms:RecipientAttestation:PCR20	Filtra o acesso pelo registro de configuração da plataforma (PCR) 20 no documento de atestado da solicitação. PCR20 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR21	Filtra o acesso pelo registro de configuração da plataforma (PCR) 21 no documento de atestado da solicitação. PCR21 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR22	Filtra o acesso pelo registro de configuração da plataforma (PCR) 22 no documento de atestado da solicitação. PCR22 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR23	Filtra o acesso pelo registro de configuração da plataforma (PCR) 23 no documento de atestado da solicitação. PCR23 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR24	Filtra o acesso pelo registro de configuração da plataforma (PCR) 24 no documento de atestado da solicitação. PCR24 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR25	Filtra o acesso pelo registro de configuração da plataforma (PCR) 25 no documento de atestado da solicitação. PCR25 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR26	Filtra o acesso pelo registro de configuração da plataforma (PCR) 26 no documento de atestado da solicitação. PCR26 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR27	Filtra o acesso pelo registro de configuração da plataforma (PCR) 27 no documento de atestado da solicitação. PCR27 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR28	Filtra o acesso pelo registro de configuração da plataforma (PCR) 28 no documento de atestado da solicitação. PCR28 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR29	Filtra o acesso pelo registro de configuração da plataforma (PCR) 29 no documento de atestado da solicitação. PCR29 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR3	Filtra o acesso pelo registro de configuração da plataforma (PCR) 3 no documento de atestado da solicitação. PCR3 é uma medida contígua da função do IAM atribuída à instância principal	String
kms:RecipientAttestation:PCR30	Filtra o acesso pelo registro de configuração da plataforma (PCR) 30 no documento de atestado da solicitação. PCR30 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR31	Filtra o acesso pelo registro de configuração da plataforma (PCR) 31 no documento de atestado da solicitação. PCR31 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR4	Filtra o acesso pelo registro de configuração da plataforma (PCR) 4 no documento de atestado da solicitação. PCR4 é uma medida contígua do ID da instância principal	String
kms:RecipientAttestation:PCR5	Filtra o acesso pelo registro de configuração da plataforma (PCR) 5 no documento de atestado da solicitação. PCR5 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR6	Filtra o acesso pelo registro de configuração da plataforma (PCR) 6 no documento de atestado da solicitação. PCR6 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR7	Filtra o acesso pelo registro de configuração da plataforma (PCR) 7 no documento de atestado da solicitação. PCR7 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR8	Filtra o acesso pelo registro de configuração da plataforma (PCR) 8 no documento de atestado da solicitação. PCR8 é uma medida do certificado de assinatura especificado para o arquivo de imagem do enclave	String
kms:RecipientAttestation:PCR9	Filtra o acesso pelo registro de configuração da plataforma (PCR) 9 no documento de atestado da solicitação. PCR9 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:ReplicaRegion	Filtra o acesso à ReplicateKey operação com base no valor do ReplicaRegion parâmetro na solicitação	String
kms:RequestAlias	Filtra o acesso às operações criptográficas DescribeKey, e GetPublicKey com base no alias na solicitação	String
kms:ResourceAliases	Filtra o acesso às operações AWS KMS especificadas com base nos aliases associados à AWS chave KMS	ArrayOfString
kms:RetiringPrincipal	Filtra o acesso à CreateGrant operação com base no diretor aposentado da concessão	String
kms:RotationPeriodInDays	Filtra o acesso à EnableKeyRotation operação com base no valor do RotationPeriodInDays parâmetro na solicitação	Numérico
kms:ScheduleKeyDeletionPendingWindowInDays	Filtra o acesso à ScheduleKeyDeletion operação com base no valor do PendingWindowInDays parâmetro na solicitação	Numérico
kms:SigningAlgorithm	Filtra o acesso às operações Sign and Verify com base no algoritmo de assinatura na solicitação	String
kms:ValidTo	Filtra o acesso à ImportKeyMaterial operação com base no valor do ValidTo parâmetro na solicitação. Você pode usar essa chave de condição para permitir que os usuários importem material de chave somente quando expirar até a data especificada	Data
kms:ViaService	Filtra o acesso quando uma solicitação feita em nome do diretor vem de um AWS serviço especificado	String
kms:WrappingAlgorithm	Filtra o acesso à GetParametersForImport operação com base no valor do WrappingAlgorithm parâmetro na solicitação	String
kms:WrappingKeySpec	Filtra o acesso à GetParametersForImport operação com base no valor do WrappingKeySpec parâmetro na solicitação	String

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon Kendra Intelligent Ranking

Amazon Keyspaces (for Apache Cassandra)