AWS Payment Cryptography 的操作、资源和条件键

AWS Payment Cryptography（服务前缀：payment-cryptography）提供以下服务特定的资源、操作和条件上下文键，以在 IAM 权限策略中使用。

参考：

了解如何配置该服务。
查看适用于该服务的 API 操作列表。
了解如何使用 IAM 权限策略保护该服务及其资源。

主题

AWS Payment Cryptography 定义的操作
AWS Payment Cryptography 定义的资源类型
AWS Payment Cryptography 的条件键

AWS Payment Cryptography 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时，通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的访问级别列描述如何对操作进行分类（列出、读取、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅策略摘要中的访问级别。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 Resource 元素中指定策略应用的所有资源（“*”）。通过在 IAM policy 中使用条件来筛选访问权限，以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限，则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的条件键列。

操作表的依赖操作列显示成功调用操作可能需要的其他权限。除了操作本身的权限以外，可能还需要这些权限。若某个操作指定依赖操作，则这些依赖关系可能适用于为该操作定义的其他资源，而不仅仅是表中列出的第一个资源。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型（* 为必需）列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅操作表。

操作	描述	访问级别	资源类型（* 为必需）	条件键	相关操作
CreateAlias	授予为密钥创建用户友好名称的权限	写入	alias*
CreateAlias	授予为密钥创建用户友好名称的权限	写入	key*
CreateKey	授予在调用方 AWS 账户和区域创建唯一的客户托管密钥的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys	payment-cryptography:TagResource
DecryptData	授予使用对称、非对称或 DUKPT 数据加密密钥将加密文字数据解密为明文的权限	写入	alias*
DecryptData	授予使用对称、非对称或 DUKPT 数据加密密钥将加密文字数据解密为明文的权限	写入	key*
DeleteAlias	授予删除指定的别名的权限	写入	alias*
DeleteAlias	授予删除指定的别名的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
DeleteKey	授予计划删除密钥的权限	写入	key*
EncryptData	授予使用对称、非对称或 DUKPT 数据加密密钥将明文数据加密为加密文字的权限	写入	alias*
EncryptData	授予使用对称、非对称或 DUKPT 数据加密密钥将明文数据加密为加密文字的权限	写入	key*
ExportKey	授予从服务导出密钥的权限	写入	key*
GenerateCardValidationData	授予使用卡验证值（CVV/CVV2）、动态卡验证值（dCVV/dCVV2）或卡安全代码（CSC）等算法生成卡相关数据的权限，这些算法会检查磁条卡的有效性	写入	alias*
GenerateCardValidationData		写入	key*
GenerateMac	授予生成 MAC（消息验证代码）密码的权限	写入	alias*
GenerateMac	授予生成 MAC（消息验证代码）密码的权限	写入	key*
GenerateMacEmvPinChange	授予生成 MAC（消息验证代码）密码的权限	写入	alias*
GenerateMacEmvPinChange	授予生成 MAC（消息验证代码）密码的权限	写入	key*
GeneratePinData	授予在新卡发行或卡补发期间生成 PIN、PIN 验证值（PVV）、PIN 块和 PIN 偏移量等 PIN 相关数据的权限	写入	alias*
GeneratePinData		写入	key*
GetAlias	授予返回与 aliasName 关联的 keyArn 的权限	读取	alias*
			key*
				aws:RequestTag/${TagKey} aws:TagKeys
GetKey	授予返回指定键相关详细信息的权限	读取	key*
GetParametersForExport	授予获取导出令牌和签名密钥证书以启动 TR-34 密钥导出的权限	读取
GetParametersForImport	授予获取导入令牌和包装密钥证书以启动 TR-34 密钥导入的权限	读取
GetPublicKeyCertificate	授予从 PUBLIC_KEY 类密钥返回公有秘钥的权限	读取	key*
ImportKey	授予导入密钥和公有秘钥证书的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys	payment-cryptography:TagResource
ListAliases	授予返回为调用者 AWS 账户和区域中所有密钥创建的别名列表的权限	列表
ListKeys	授予返回在调用者 AWS 账户和区域中创建的密钥列表的权限	列表
ListTagsForResource	授予返回在调用者 AWS 账户和区域中创建的标签列表的权限	读取	key
ReEncryptData	授予使用 DUKPT、对称和非对称数据加密秘钥重新加密加密文字的权限	写入	alias*
ReEncryptData	授予使用 DUKPT、对称和非对称数据加密秘钥重新加密加密文字的权限	写入	key*
RestoreKey	授予如果在等待期间的任何时候需要恢复密钥则取消计划密钥删除的权限	写入	key*
StartKeyUsage	授予启用已禁用密钥的权限	写入	key*
StopKeyUsage	授予禁用已启用密钥的权限	写入	key*
TagResource	授予为指定的资源添加或覆盖一个或多个标签的权限	标记	key*
TagResource	授予为指定的资源添加或覆盖一个或多个标签的权限	标记		aws:TagKeys aws:RequestTag/${TagKey}
TranslatePinData	授予将加密 PIN 块与 ISO 9564 格式 0、1、3、4 相互转换的权限	写入	alias*
TranslatePinData	授予将加密 PIN 块与 ISO 9564 格式 0、1、3、4 相互转换的权限	写入	key*
UntagResource	授予从指定资源中删除一个或多个指定标签的权限	标记	key*
UntagResource	授予从指定资源中删除一个或多个指定标签的权限	标记		aws:TagKeys
UpdateAlias	授予更改已分配别名的密钥或从当前密钥取消别名分配的权限	写入	alias*
			key*
				aws:RequestTag/${TagKey} aws:TagKeys
VerifyAuthRequestCryptogram	授予验证 EMV 芯片支付卡授权的授权请求加密（ARQC）的权限	写入	alias*
VerifyAuthRequestCryptogram	授予验证 EMV 芯片支付卡授权的授权请求加密（ARQC）的权限	写入	key*
VerifyCardValidationData	授予使用卡验证值（CVV/CVV2）、动态卡验证值（dCVV/dCVV2）和卡安全代码（CSC）等算法验证卡相关数据的权限	写入	alias*
VerifyCardValidationData		写入	key*
VerifyMac	授予根据提供的 MAC 验证输入数据的 MAC（消息身份验证代码）的权限	写入	alias*
VerifyMac	授予根据提供的 MAC 验证输入数据的 MAC（消息身份验证代码）的权限	写入	key*
VerifyPinData	授予使用包括 VISA PVV 和 IBM3624 在内的算法验证 PIN 和 PIN 偏移等密码相关数据的权限	写入	alias*
VerifyPinData	授予使用包括 VISA PVV 和 IBM3624 在内的算法验证 PIN 和 PIN 偏移等密码相关数据的权限	写入	key*

AWS Payment Cryptography 定义的资源类型

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅资源类型表。

资源类型 ARN 条件键

资源类型	ARN	条件键
key	`arn:${Partition}:payment-cryptography:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} payment-cryptography:ResourceAliases
alias	`arn:${Partition}:payment-cryptography:${Region}:${Account}:alias/${Alias}`	payment-cryptography:ResourceAliases

key

arn:${Partition}:payment-cryptography:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

payment-cryptography:ResourceAliases

alias

arn:${Partition}:payment-cryptography:${Region}:${Account}:alias/${Alias}

payment-cryptography:ResourceAliases

AWS Payment Cryptography 的条件键

AWS Payment Cryptography 定义了下列可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅条件键表。

要查看适用于所有服务的全局条件键，请参阅 AWS 全局条件上下文键。

条件键	描述	类型
aws:RequestTag/${TagKey}	按指定操作请求中标签的键与值筛选访问权限	字符串
aws:ResourceTag/${TagKey}	按分配给指定操作的密钥的标签筛选访问权限	字符串
aws:TagKeys	按指定操作请求中的标签键筛选访问权限	字符串数组
payment-cryptography:CertificateAuthorityPublicKeyIdentifier	按请求或 ImportKey 和 ExportKey 操作中指定的 CertificateAuthorityPublicKeyIdentifier 筛选访问权限	字符串
payment-cryptography:ImportKeyMaterial	按为 ImportKey 操作导入的密钥材料类型 [RootCertificatePublicKey、TrustedCertificatePublicKey、Tr34KeyBlock、Tr31KeyBlock] 筛选访问权限	字符串
payment-cryptography:KeyAlgorithm	按 CreateKey 操作请求中指定的 KeyAlgorithm 筛选访问权限	字符串
payment-cryptography:KeyClass	按 CreateKey 操作请求中指定的 KeyClass 筛选访问权限	字符串
payment-cryptography:KeyUsage	按 CreateKey 操作请求中指定的或与其密钥关联的 KeyClass 筛选访问权限	字符串
payment-cryptography:RequestAlias	按指定操作请求中的别名筛选访问权限	字符串
payment-cryptography:ResourceAliases	按与指定操作的密钥关联的别名筛选访问权限	字符串数组
payment-cryptography:WrappingKeyIdentifier	按 ImportKey 和 ExportKey 操作请求中指定的 WrappingKeyIdentifier 筛选访问权限	字符串

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 合作伙伴中心销售

AWS Payments