AWS KMS 权限

此表旨在帮助您了解 AWS KMS 权限，以便您可以控制对 AWS KMS 资源的访问。表格下方会显示列标题的定义。

您还可以在服务授权参考的 AWS Key Management Service 的操作、资源和条件键主题中了解 AWS KMS 权限。但是，该主题并未列出可用于优化每个权限的所有条件键。

要详细了解哪些 AWS KMS 操作对称加密 KMS 密钥、非对称 KMS 密钥以及 HMAC KMS 密钥有效，请参阅密钥类型引用。

注意

您可能需要水平或垂直滚动才能查看表中的所有数据。

操作和权限	策略类型	跨账户使用	资源（适用于 IAM policy）	AWS KMS 条件键
CancelKeyDeletion `kms:CancelKeyDeletion`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAM 策略	否	`*`	kms:CallerAccount
CreateAlias `kms:CreateAlias` 要使用此操作，调用方需要对以下两个资源具有 `kms:CreateAlias` 权限：别名（在 IAM policy 中） KMS 密钥（在密钥策略中）有关更多信息，请参阅控制对别名的访问。	IAM policy（适用于别名）	否	别名	无（控制对别名的访问时）
	密钥策略（适用于 KMS 密钥）	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAM 策略	否	`*`	kms:CallerAccount
CreateGrant `kms:CreateGrant`	密钥策略	是	KMS 密钥	加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys 授予条件： kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
CreateKey `kms:CreateKey`	IAM 策略	否	`*`	kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService aws:RequestTag/tag-key（AWS 全局条件键） aws:ResourceTag/tag-key（AWS 全局条件键） aws:TagKeys（AWS 全局条件键）
Decrypt `kms:Decrypt`	密钥策略	是	KMS 密钥	加密操作的条件 kms:EncryptionAlgorithm kms:RequestAlias 加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
DeleteAlias `kms:DeleteAlias` 要使用此操作，调用方需要对以下两个资源具有 `kms:DeleteAlias` 权限：别名（在 IAM policy 中） KMS 密钥（在密钥策略中）有关更多信息，请参阅控制对别名的访问。	IAM policy（适用于别名）	否	别名	无（控制对别名的访问时）
	密钥策略（适用于 KMS 密钥）	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAM 策略	否	`*`	kms:CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
DeriveSharedSecret `kms:DeriveSharedSecret`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 加密操作的条件： kms:KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAM 策略	否	`*`	kms:CallerAccount
DescribeKey `kms:DescribeKey`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:RequestAlias
DisableKey `kms:DisableKey`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
DisableKeyRotation `kms:DisableKeyRotation`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAM 策略	否	`*`	kms:CallerAccount
EnableKey `kms:EnableKey`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
EnableKeyRotation `kms:EnableKeyRotation`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 自动密钥轮换条件： kms:RotationPeriodInDays
Encrypt `kms:Encrypt`	密钥策略	是	KMS 密钥	加密操作的条件 kms:EncryptionAlgorithm kms:RequestAlias 加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GenerateDataKey `kms:GenerateDataKey`	密钥策略	是	KMS 密钥	加密操作的条件 kms:EncryptionAlgorithm kms:RequestAlias 加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	密钥策略	是	KMS 密钥生成受对称加密 KMS 密钥保护的非对称数据密钥对。	数据密钥对的条件： kms:DataKeyPairSpec 加密操作的条件 kms:EncryptionAlgorithm kms:RequestAlias 加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	密钥策略	是	KMS 密钥生成受对称加密 KMS 密钥保护的非对称数据密钥对。	数据密钥对的条件： kms:DataKeyPairSpec 加密操作的条件 kms:EncryptionAlgorithm kms:RequestAlias 加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	密钥策略	是	KMS 密钥	加密操作的条件 kms:EncryptionAlgorithm kms:RequestAlias 加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GenerateMac `kms:GenerateMac`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 加密操作的条件： kms:MacAlgorithm kms:RequestAlias
GenerateRandom `kms:GenerateRandom`	IAM 策略	不适用	`*`	无
GetKeyPolicy `kms:GetKeyPolicy`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GetParametersForImport `kms:GetParametersForImport`	密钥策略	否	KMS 密钥	kms:WrappingAlgorithm kms:WrappingKeySpec KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
GetPublicKey `kms:GetPublicKey`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:ExpirationModel kms:ValidTo
ListAliases `kms:ListAliases`	IAM 策略	否	`*`	无
ListGrants `kms:ListGrants`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:GrantIsForAWSResource
ListKeyPolicies `kms:ListKeyPolicies`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
ListKeyRotations `kms:ListKeyRotations`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
ListKeys `kms:ListKeys`	IAM 策略	否	`*`	无
ListResourceTags `kms:ListResourceTags`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAM 策略	指定的委托人必须位于本地账户中，但操作将返回所有账户中的授权。	`*`	无
PutKeyPolicy `kms:PutKeyPolicy`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` 要使用此操作，调用方需要对以下两个 KMS 密钥具有权限： `kms:ReEncryptFrom`KMS 密钥上的，用于解密 `kms:ReEncryptTo`KMS 密钥上的，用于加密	密钥策略	是	KMS 密钥	加密操作的条件 kms:EncryptionAlgorithm kms:RequestAlias 加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` 要使用此操作，调用方需要具有以下权限：多区域主键上的 `kms:ReplicateKey` 副本区域中的 IAM policy 中的 `kms:CreateKey`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:ReplicaRegion
RetireGrant `kms:RetireGrant` 撤销授予的权限主要由授予决定。单独的策略无法允许访问此操作。有关更多信息，请参阅停用和撤销授权。	IAM 策略（此权限在密钥策略中无效。）	是	KMS 密钥	加密上下文条件： kms:EncryptionContext:context-key kms:EncryptionContextKeys 授予条件： kms:GrantConstraintType KMS 密钥操作的条件： kms:CallerAccount kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
RevokeGrant `kms:RevokeGrant`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件： kms:GrantIsForAWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
Sign `kms:Sign`	密钥策略	是	KMS 密钥	签名和验证条件： kms:MessageType kms:RequestAlias kms:SigningAlgorithm KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
TagResource `kms:TagResource`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 标记条件： aws:RequestTag/tag-key（AWS 全局条件键） aws:TagKeys（AWS 全局条件键）
UntagResource `kms:UntagResource`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 标记条件： aws:RequestTag/tag-key（AWS 全局条件键） aws:TagKeys（AWS 全局条件键）
UpdateAlias `kms:UpdateAlias` 要使用此操作，调用方需要对以下三个资源具有 `kms:UpdateAlias` 权限：别名当前关联的 KMS 密钥新关联的 KMS 密钥有关更多信息，请参阅控制对别名的访问。	IAM policy（适用于别名）	否	别名	无（控制对别名的访问时）
	密钥策略（适用于 KMS 密钥）	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAM 策略	否	`*`	kms:CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` 要使用此操作，调用方需要对将成为副本密钥的多区域主键和将成为主键的多区域副本密钥同时具有 `kms:UpdatePrimaryRegion` 权限。	密钥策略	否	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 其他条件 kms:PrimaryRegion
Verify `kms:Verify`	密钥策略	是	KMS 密钥	签名和验证条件： kms:MessageType kms:RequestAlias kms:SigningAlgorithm KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService
VerifyMac `kms:VerifyMac`	密钥策略	是	KMS 密钥	KMS 密钥操作的条件： kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key（AWS 全局条件键） kms:ViaService 加密操作的条件： kms:MacAlgorithm kms:RequestAlias

列描述

此表中的各列提供以下信息：

操作和权限列出每个 AWS KMS API 操作及允许执行该操作的权限。您可以在策略语句的 Action 元素中指定操作。
策略类型指示权限是否可在密钥策略或 IAM policy 中使用。

密钥策略意味着您可以在密钥策略中指定权限。当密钥政策包含启用 IAM policy 的策略语句时，您可以在 IAM policy 中指定权限。

IAM policy 意味着您只能在 IAM policy 中指定权限。
跨账户使用显示了授权用户可以对其他 AWS 账户中的资源执行的操作。

值 Yes（是）表示委托人可以对其他 AWS 账户中的资源执行操作。

值 No（否）表示委托人只能对其自己的 AWS 账户中的资源执行操作。

如果您为不同账户中的委托人授予一个不能在跨账户资源上使用的权限，则该权限将无效。例如，如果您为另一个账户中的委托人授予对您账户中的 KMS 密钥的 kms:TagResource 权限，则他们试图在您的账户中标记 KMS 密钥将失败。
资源列出了应用权限的 AWS KMS 资源。AWS KMS 支持两种资源类型：KMS 密钥和别名。在密钥策略中，Resource 元素的值始终为 *，这表示密钥策略附加到的 KMS 密钥。

使用以下值表示 IAM policy 中的 AWS KMS 资源。

KMS 密钥

当资源是 KMS 密钥时，请使用其密钥 ARN。有关帮助信息，请参阅查找密钥 ID 和密钥 ARN。

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

例如：

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

别名

当资源是别名时，请使用其别名 ARN。有关帮助信息，请参阅查找 KMS 密钥的别名和别名 ARN。

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

例如：

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

*（星号）

当权限不适用于特定资源（KMS 密钥或别名）时，请使用星号 (*)。

在 AWS KMS 权限的 IAM policy 中，Resource 元素中的星号表示所有 AWS KMS 资源（KMS 密钥和别名）。当 AWS KMS 权限不适用于任何特定的 KMS 密钥或别名时，您也可以在 Resource 元素中使用星号。例如，允许或拒绝 kms:CreateKey 或 kms:ListKeys 权限时，必须将 Resource 元素设置为 *。
AWS KMS 条件键列出可用于控制对操作的访问的 AWS KMS 条件键。您可以在策略的 Condition 元素中指定条件。有关更多信息，请参阅 AWS KMS 条件键。此列还包含 AWS 全局条件上下文键，这些键受 AWS KMS 支持但并不受所有 AWS 服务支持。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

密钥规范引用

AWS KMS 内部操作