IAM 策略概述 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

IAM 策略概述

您可以通过以下方式使用 IAM 策略:

  • 将权限策略附加到用户或组 – 您可以附加允许一个 IAM 用户或一组用户调用 Amazon KMS 操作的策略。

  • 将权限策略附加到角色以启用联合身份验证或跨账户权限 – 您可以将 IAM 策略附加到 IAM 角色以启用联合身份验证,允许跨账户权限,或者向运行在 EC2 实例上的应用程序授予权限。有关 IAM 角色各种使用场景的更多信息,请参阅 IAM 用户指南中的 IAM 角色

以下示例显示了一个具有 Amazon KMS 权限的 IAM 策略。此策略允许附加到其上的 IAM 身份获取列出所有 KMS 密钥和别名。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

与所有 IAM 策略一样,此策略没有 Principal 元素。将 IAM 策略附加到 IAM 用户或 IAM 角色时,用户或担任的角色用户将获取策略中指定的权限。

有关显示所有 Amazon KMS API 操作及其适用的资源的表,请参阅 权限参考