Ações Tipos de recursos Chaves de condição

Ações, recursos e chaves de condição do AWS Key Management Service

O AWS Key Management Service (prefixo de serviço: kms) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.

Referências:

Saiba como configurar este serviço.
Visualize uma lista das operações de API disponíveis para este serviço.
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.

Tópicos

Ações definidas pelo AWS Key Management Service
Tipos de recursos definidos pelo AWS Key Management Service
Chaves de condição do AWS Key Management Service

Ações definidas pelo AWS Key Management Service

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Nível de acesso da tabela Ações descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Níveis de acesso em resumos de políticas.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

A coluna Ações dependentes da tabela Ações mostra permissões adicionais que podem ser necessárias para chamar uma ação com êxito. Essas permissões podem ser necessárias além da permissão para a ação em si. Quando uma ação especifica ações dependentes, essas dependências podem se aplicar a recursos adicionais definidos para essa ação, não somente ao primeiro recurso listado na tabela.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações	Descrição	Nível de acesso	Tipos de recursos (*necessários)	Chaves de condição	Ações dependentes
CancelKeyDeletion	Controla a permissão para cancelar a exclusão programada de uma chave KMS da AWS	Gravar	key*
CancelKeyDeletion		Gravar		kms:CallerAccount kms:ViaService
ConnectCustomKeyStore	Controla a permissão para conectar ou reconectar um armazenamento de chaves personalizado ao cluster associado do AWS CloudHSM ou a um gerenciador de chaves externo fora da AWS	Gravar		kms:CallerAccount
CreateAlias	Controla a permissão para criar um alias para uma chave KMS da AWS. Aliases são nomes amigáveis opcionais que você pode associar às chaves KMS	Gravar	alias*
			key*
				kms:CallerAccount kms:ViaService
CreateCustomKeyStore	Controla a permissão para criar um armazenamento de chaves personalizado com o suporte de um cluster do AWS CloudHSM ou de um gerenciador de chaves externo fora da AWS	Gravar		kms:CallerAccount	cloudhsm:DescribeClusters iam:CreateServiceLinkedRole
CreateGrant	Controla a permissão para adicionar uma concessão a uma chave KMS da AWS. Você pode usar concessões para adicionar permissões sem alterar a política de chaves ou a política do IAM	Gerenciamento de permissões	key*
CreateGrant		Gerenciamento de permissões		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal kms:ViaService
CreateKey	Controla a permissão para criar chave do AWS KMS que pode ser usada para proteger chaves de dados e outras informações sigilosas	Gravar		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService	iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource
Decrypt	Controla a permissão para descriptografar texto cifrado que foi criptografado com uma chave KMS da AWS	Gravar	key*
Decrypt		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DeleteAlias	Controla a permissão para excluir um alias. Aliases são nomes amigáveis opcionais que você pode associar às chaves KMS da AWS	Gravar	alias*
			key*
				kms:CallerAccount kms:ViaService
DeleteCustomKeyStore	Controla a permissão para excluir um armazenamento de chaves personalizado	Gravar		kms:CallerAccount
DeleteImportedKeyMaterial	Controla a permissão para excluir material criptográfico que você importou para uma chave KMS da AWS. Esta ação torna a chave inutilizável	Gravar	key*
DeleteImportedKeyMaterial		Gravar		kms:CallerAccount kms:ViaService
DeriveSharedSecret	Controla a permissão para usar a chave do AWS KMS especificada para derivar segredos compartilhados	Gravar	key*
DeriveSharedSecret		Gravar		kms:CallerAccount kms:KeyAgreementAlgorithm kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DescribeCustomKeyStores	Controla a permissão para exibir informações detalhadas sobre armazenamentos de chaves personalizadas na conta e região	Leitura		kms:CallerAccount
DescribeKey	Controla a permissão para visualizar informações detalhadas sobre uma chave KMS da AWS	Leitura	key*
DescribeKey		Leitura		kms:CallerAccount kms:RequestAlias kms:ViaService
DisableKey	Controla a permissão para desabilitar uma chave KMS da AWS, o que impede que ela seja usada em operações criptográficas	Gravar	key*
DisableKey		Gravar		kms:CallerAccount kms:ViaService
DisableKeyRotation	Controla a permissão para desabilitar a alternância automática de uma chave do AWS KMS gerenciada pelo cliente	Gravar	key*
DisableKeyRotation		Gravar		kms:CallerAccount kms:ViaService
DisconnectCustomKeyStore	Controla a permissão para desconectar o armazenamento de chaves personalizado do cluster associado do AWS CloudHSM ou de um gerenciador de chaves externo fora da AWS	Gravar		kms:CallerAccount
EnableKey	Controla a permissão para alterar o estado de uma chave do AWS KMS para habilitada. Isso permite que a chave KMS seja usada em operações criptográficas	Gravar	key*
EnableKey		Gravar		kms:CallerAccount kms:ViaService
EnableKeyRotation	Controla a permissão para habilitar a alternância automática do material criptográfico em uma chave KMS da AWS	Gravar	key*
EnableKeyRotation		Gravar		kms:CallerAccount kms:RotationPeriodInDays kms:ViaService
Encrypt	Controla a permissão para usar a chave do AWS KMS especificada para criptografar dados e chaves de dados	Gravar	key*
Encrypt		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKey	Controla a permissão para usar a chave do AWS KMS para gerar chaves de dados. Você pode usar as chaves de dados para criptografar dados fora do AWS KMS	Gravar	key*
GenerateDataKey		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPair	Controla a permissão para usar a chave do AWS KMS para gerar pares de chaves de dados	Gravar	key*
GenerateDataKeyPair		Gravar		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPairWithoutPlaintext	Controla a permissão para usar a chave do AWS KMS para gerar pares de chaves de dados. Ao contrário da operação GenerateDataKeyPair, esta operação retorna uma chave privada criptografada sem uma cópia de texto simples	Gravar	key*
GenerateDataKeyPairWithoutPlaintext		Gravar		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyWithoutPlaintext	Controla a permissão para usar a chave do AWS KMS para gerar uma chave de dados. Ao contrário da operação GenerateDataKey, esta operação retorna uma chave de dados criptografada sem uma versão em texto simples da chave de dados	Gravar	key*
GenerateDataKeyWithoutPlaintext		Gravar		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateMac	Controla a permissão para usar a chave do AWS KMS para gerar códigos de autenticação de mensagens	Gravar	key*
GenerateMac		Gravar		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService
GenerateRandom	Controla a permissão para obter uma string de bytes aleatória criptograficamente segura do AWS KMS	Gravar		kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31
GetKeyPolicy	Controla a permissão para visualizar a política de chaves para a chave do AWS KMS especificada	Leitura	key*
GetKeyPolicy		Leitura		kms:CallerAccount kms:ViaService
GetKeyRotationStatus	Controla a permissão para exibir o status de rotação de chaves para uma chave do AWS KMS	Leitura	key*
GetKeyRotationStatus		Leitura		kms:CallerAccount kms:ViaService
GetParametersForImport	Controla a permissão para obter dados necessários para importar material criptográfico para uma chave gerenciada pelo cliente, incluindo uma chave pública e um token de importação	Leitura	key*
GetParametersForImport		Leitura		kms:CallerAccount kms:ViaService kms:WrappingAlgorithm kms:WrappingKeySpec
GetPublicKey	Controla a permissão para baixar a chave pública de uma chave do AWS KMS assimétrica	Leitura	key*
GetPublicKey		Leitura		kms:CallerAccount kms:RequestAlias kms:ViaService
ImportKeyMaterial	Controla a permissão para importar material criptográfico para uma chave KMS da AWS	Gravar	key*
ImportKeyMaterial		Gravar		kms:CallerAccount kms:ExpirationModel kms:ValidTo kms:ViaService
ListAliases	Controla a permissão para visualizar os alias definidos na conta. Aliases são nomes amigáveis opcionais que você pode associar às chaves KMS da AWS	Lista
ListGrants	Controla a permissão para visualizar todas as concessões para uma chave KMS da AWS	Lista	key*
ListGrants		Lista		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ListKeyPolicies	Controla a permissão para visualizar os nomes das políticas de chave para uma chave KMS da AWS	Lista	key*
ListKeyPolicies		Lista		kms:CallerAccount kms:ViaService
ListKeyRotations	Controla a permissão para exibir a lista de materiais de chaves para uma chave do AWS KMS	Lista	key*
ListKeyRotations		Lista		kms:CallerAccount kms:ViaService
ListKeys	Controla a permissão para visualizar o ID de chave e o nome do recurso da Amazon (ARN) de todas as chaves do AWS KMS na conta	Lista
ListResourceTags	Controla a permissão para visualizar todas as etiquetas anexadas a uma chave do AWS KMS	Lista	key*
ListResourceTags		Lista		kms:CallerAccount kms:ViaService
ListRetirableGrants	Controla a permissão para visualizar concessões nas quais a entidade principal especificada é a entidade principal que está sendo desativada. Outros primários talvez consigam retirar a concessão e este principal talvez possa retirar outras concessões	Lista
PutKeyPolicy	Controla a permissão para substituir a política de chaves para a chave do AWS KMS especificada	Gerenciamento de permissões	key*
PutKeyPolicy		Gerenciamento de permissões		kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:ViaService
ReEncryptFrom	Controla a permissão para descriptografar dados como parte do processo que descriptografa e criptografa novamente os dados no AWS KMS	Write	key*
ReEncryptFrom		Write		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReEncryptTo	Controla a permissão para criptografar dados como parte do processo que descriptografa e criptografa novamente os dados no AWS KMS	Write	key*
ReEncryptTo		Write		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReplicateKey	Controla a permissão para replicar uma chave primária de várias regiões	Write	key*		iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource
ReplicateKey		Write		kms:CallerAccount kms:ReplicaRegion kms:ViaService
RetireGrant	Controla a permissão para desativar uma concessão. A operação RetireGrant geralmente é chamada pelo usuário de concessão após concluir as tarefas que a concessão permitiu que eles realizassem	Permissions management	key*
RetireGrant		Permissions management		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:ViaService
RevokeGrant	Controla a permissão para revogar uma concessão, que nega permissão para todas as operações que dependem da concessão	Gerenciamento de permissões	key*
RevokeGrant		Gerenciamento de permissões		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
RotateKeyOnDemand	Controla a permissão para invocar a alternância sob demanda do material criptográfico em uma chave do AWS KMS	Gravar	key*
RotateKeyOnDemand		Gravar		kms:CallerAccount kms:ViaService
ScheduleKeyDeletion	Controla a permissão para programar a exclusão de uma chave KMS da AWS	Gravar	key*
ScheduleKeyDeletion		Gravar		kms:CallerAccount kms:ScheduleKeyDeletionPendingWindowInDays kms:ViaService
Sign	Controla a permissão para produzir uma assinatura digital para uma mensagem	Write	key*
Sign		Write		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
SynchronizeMultiRegionKey [somente permissão]	Controla o acesso a APIs internas que sincronizam chaves de várias regiões	Gravar	key*
TagResource	Controla a permissão para criar ou atualizar etiquetas anexadas a uma chave do AWS KMS	Tags	key*
TagResource		Tags		aws:RequestTag/${TagKey} aws:TagKeys kms:CallerAccount kms:ViaService
UntagResource	Controla a permissão para excluir as etiquetas anexadas a uma chave do AWS KMS	Tags	key*
UntagResource		Tags		aws:TagKeys kms:CallerAccount kms:ViaService
UpdateAlias	Controla a permissão para associar um alias a outra chave KMS da AWS. Um alias é um nome amigável opcional que você pode associar a uma chave KMS	Gravar	alias*
			key*
				kms:CallerAccount kms:ViaService
UpdateCustomKeyStore	Controla a permissão para alterar as propriedades de um armazenamento de chaves personalizado	Gravar		kms:CallerAccount
UpdateKeyDescription	Controla a permissão para excluir ou alterar a descrição de uma chave KMS da AWS	Gravar	key*
UpdateKeyDescription		Gravar		kms:CallerAccount kms:ViaService
UpdatePrimaryRegion	Controla a permissão para atualizar a região primária de uma chave primária de várias regiões	Gravar	key*
UpdatePrimaryRegion		Gravar		kms:CallerAccount kms:PrimaryRegion kms:ViaService
Verify	Controla a permissão para usar a chave do AWS KMS especificada para verificar assinaturas digitais	Gravar	key*
Verify		Gravar		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
VerifyMac	Controla a permissão para usar a chave do AWS KMS para verificar códigos de autenticação de mensagens	Gravar	key*
VerifyMac		Gravar		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService

Tipos de recursos definidos pelo AWS Key Management Service

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição

alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}

Tipos de recursos	ARN	Chaves de condição
alias	`arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}`
key	`arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} kms:KeyOrigin kms:KeySpec kms:KeyUsage kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases

key

arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:MultiRegionKeyType

kms:ResourceAliases

Chaves de condição do AWS Key Management Service

O AWS Key Management Service define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de contexto de condição globais da AWS.

Chaves de condição	Descrição	Tipo
aws:RequestTag/${TagKey}	Filtra o acesso a operações especificadas do AWS KMS com base na chave e no valor da etiqueta na solicitação	String
aws:ResourceTag/${TagKey}	Filtra o acesso às operações especificadas do AWS KMS com base em etiquetas atribuídas à chave do AWS KMS	String
aws:TagKeys	Filtra o acesso a operações especificadas do AWS KMS com base em chaves de etiqueta na solicitação	ArrayOfString
kms:BypassPolicyLockoutSafetyCheck	Filtra o acesso às operações CreateKey e PutKeyPolicy com base no valor do parâmetro BypassPolicyLockoutSafetyCheck na solicitação	Bool
kms:CallerAccount	Filtra o acesso às operações especificadas do AWS KMS com base no ID da Conta da AWS do chamador. Você pode usar essa chave de condição para permitir ou negar acesso a todos os usuários e funções do IAM em uma Conta da AWS em uma única instrução de política	String
kms:CustomerMasterKeySpec	A chave de condição kms:CustomerMasterKeySpec está defasada. Em vez disso, use a chave de condição kms:KeySpec	String
kms:CustomerMasterKeyUsage	A chave de condição kms:CustomerMasterKeyUsage está defasada. Em vez disso, use a chave de condição kms:KeyUsage	String
kms:DataKeyPairSpec	Filtra o acesso às operações GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext com base no valor do parâmetro KeyPairSpec da solicitação.	String
kms:EncryptionAlgorithm	Filtra o acesso às operações de criptografia com base no valor do algoritmo de criptografia na solicitação	String
kms:EncryptionContext:${EncryptionContextKey}	Filtra o acesso a uma chave do AWS KMS simétrica com base no contexto de criptografia em uma operação de criptografia. Essa condição avalia a chave e o valor em cada par de contexto de criptografia de chave-valor	String
kms:EncryptionContextKeys	Filtra o acesso a uma chave do AWS KMS simétrica com base no contexto de criptografia em uma operação de criptografia. Essa chave de condição avalia somente a chave em cada par de contexto de criptografia de chave-valor	ArrayOfString
kms:ExpirationModel	Filtra o acesso à operação ImportKeyMaterial com base no valor do parâmetro ExpirationModel na solicitação	String
kms:GrantConstraintType	Filtra o acesso à operação CreateGrant com base na restrição de concessão na solicitação	String
kms:GrantIsForAWSResource	Filtra o acesso à operação CreateGrant quando a solicitação vem de um produto da AWS especificado	Bool
kms:GrantOperations	Filtra o acesso à operação CreateGrant com base nas operações da concessão	ArrayOfString
kms:GranteePrincipal	Filtra o acesso à operação CreateGrant com base no principal do beneficiário na concessão	String
kms:KeyAgreementAlgorithm	Filtra o acesso à operação DeriveSharedSecret com base no valor do parâmetro KeyAgreementAlgorithm na solicitação	String
kms:KeyOrigin	Filtra o acesso a uma operação de API com base na propriedade Origin da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para uma chave KMS	String
kms:KeySpec	Filtra o acesso a uma operação de API com base na propriedade KeySpec da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS	String
kms:KeyUsage	Filtra o acesso a uma operação de API com base na propriedade de KeyUsage da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS	String
kms:MacAlgorithm	Filtra o acesso às operações GenerateMac e VerifyMac com base no parâmetro MacAlgorithm da solicitação	String
kms:MessageType	Filtra o acesso às operações Sign and Verify com base no valor do parâmetro MessageType na solicitação	String
kms:MultiRegion	Filtra o acesso a uma operação de API com base na propriedade MultiRegion da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS	Bool
kms:MultiRegionKeyType	Filtra o acesso a uma operação de API com base na propriedade MultiRegionKeyType da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS	String
kms:PrimaryRegion	Filtra o acesso à operação UpdatePrimaryRegion com base no valor do parâmetro PrimaryRegion na solicitação	String
kms:ReEncryptOnSameKey	Filtra o acesso à operação ReEncrypt quando usa a mesma chave do AWS KMS usada para a operação Encrypt	Bool
kms:RecipientAttestation:ImageSha384	Filtra o acesso às operações de API com base no hash de imagem do documento de atestado da solicitação	String
kms:RecipientAttestation:NitroTPMPCR0	Filtra o acesso pelo registro de configuração da plataforma (PCR) 0 no documento de atestado na solicitação. PCR0 é uma medida contígua do código executável do firmware do sistema central	String
kms:RecipientAttestation:NitroTPMPCR1	Filtra o acesso pelo registro de configuração da plataforma (PCR) 1 no documento de atestado na solicitação. O PCR1 é uma medida contígua da configuração da plataforma de host/dados do firmware do sistema central, geralmente incluindo números de série e de modelo	String
kms:RecipientAttestation:NitroTPMPCR10	Filtra o acesso pelo registro de configuração da plataforma (PCR) 10 no documento de atestado na solicitação. O PCR10 é uma medida contígua de proteção do log de medição IMA	String
kms:RecipientAttestation:NitroTPMPCR11	Filtra o acesso pelo registro de configuração da plataforma (PCR) 11 no documento de atestado na solicitação. O PCR11 é uma medida contígua de todos os componentes das imagens unificadas do kernel (UKIs)	String
kms:RecipientAttestation:NitroTPMPCR12	Filtra o acesso pelo registro de configuração da plataforma (PCR) 12 no documento de atestado na solicitação. O PCR12 é uma medida contígua da linha de comando do kernel, das credenciais do sistema e das imagens de configuração do sistema	String
kms:RecipientAttestation:NitroTPMPCR13	Filtra o acesso pelo registro de configuração da plataforma (PCR) 13 no documento de atestado na solicitação. O PCR13 é uma medida contígua de todas as imagens de extensão do sistema para o initrd	String
kms:RecipientAttestation:NitroTPMPCR14	Filtra o acesso pelo registro de configuração da plataforma (PCR) 14 no documento de atestado na solicitação. O PCR14 é uma medida contígua de certificados e hashes “MOK”	String
kms:RecipientAttestation:NitroTPMPCR15	Filtra o acesso pelo registro de configuração da plataforma (PCR) 15 no documento de atestado na solicitação. O PCR15 é uma medida contígua da chave de criptografia do volume do sistema de arquivos raiz	String
kms:RecipientAttestation:NitroTPMPCR16	Filtra o acesso pelo registro de configuração da plataforma (PCR) 16 no documento de atestado na solicitação. O PCR16 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR17	Filtra o acesso pelo registro de configuração da plataforma (PCR) 17 no documento de atestado na solicitação. O PCR17 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR18	Filtra o acesso pelo registro de configuração da plataforma (PCR) 18 no documento de atestado na solicitação. O PCR18 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR19	Filtra o acesso pelo registro de configuração da plataforma (PCR) 19 no documento de atestado na solicitação. O PCR19 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR2	Filtra o acesso pelo registro de configuração da plataforma (PCR) 2 no documento de atestado na solicitação. O PCR2 é uma medida contígua de código executável estendido ou conectável, incluindo ROMs opcionais em hardware conectável	String
kms:RecipientAttestation:NitroTPMPCR20	Filtra o acesso pelo registro de configuração da plataforma (PCR) 20 no documento de atestado na solicitação. O PCR20 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR21	Filtra o acesso pelo registro de configuração da plataforma (PCR) 21 no documento de atestado na solicitação. O PCR21 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR22	Filtra o acesso pelo registro de configuração da plataforma (PCR) 22 no documento de atestado na solicitação. O PCR22 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR23	Filtra o acesso pelo registro de configuração da plataforma (PCR) 23 no documento de atestado na solicitação. O PCR23 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR3	Filtra o acesso pelo registro de configuração da plataforma (PCR) 3 no documento de atestado na solicitação. O PCR3 é uma medida contígua de dados de firmware estendidos ou conectáveis, incluindo informações sobre hardware conectável	String
kms:RecipientAttestation:NitroTPMPCR4	Filtra o acesso pelo registro de configuração da plataforma (PCR) 4 no documento de atestado na solicitação. O PCR4 é uma medida contígua do carregador de inicialização e drivers adicionais, incluindo binários e extensões carregados pelo carregador de inicialização	String
kms:RecipientAttestation:NitroTPMPCR5	Filtra o acesso pelo registro de configuração da plataforma (PCR) 5 no documento de atestado na solicitação. O PCR5 é uma medida contígua da tabela GPT/partição	String
kms:RecipientAttestation:NitroTPMPCR6	Filtra o acesso pelo registro de configuração da plataforma (PCR) 6 no documento de atestado na solicitação. O PCR6 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:NitroTPMPCR7	Filtra o acesso pelo registro de configuração da plataforma (PCR) 7 no documento de atestado na solicitação. O PCR7 é uma medida contígua do estado SecureBoot	String
kms:RecipientAttestation:NitroTPMPCR8	Filtra o acesso pelo registro de configuração da plataforma (PCR) 8 no documento de atestado na solicitação. O PCR8 é uma medida contígua de comandos e linha de comando do kernel	String
kms:RecipientAttestation:NitroTPMPCR9	Filtra o acesso pelo registro de configuração da plataforma (PCR) 9 no documento de atestado na solicitação. O PCR9 é uma medida contígua de todos os arquivos lidos (incluindo a imagem do kernel)	String
kms:RecipientAttestation:PCR0	Filtra o acesso pelo registro de configuração da plataforma (PCR) 0 no documento de atestado na solicitação. O PCR0 é uma medida contígua do conteúdo do arquivo de imagem do enclave, sem os dados da seção	String
kms:RecipientAttestation:PCR1	Filtra o acesso pelo registro de configuração da plataforma (PCR) 1 no documento de atestado na solicitação. O PCR1 é uma medida contígua do kernel Linux e dos dados de bootstrap	String
kms:RecipientAttestation:PCR10	Filtra o acesso pelo registro de configuração da plataforma (PCR) 10 no documento de atestado na solicitação. O PCR10 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR11	Filtra o acesso pelo registro de configuração da plataforma (PCR) 11 no documento de atestado na solicitação. O PCR11 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR12	Filtra o acesso pelo registro de configuração da plataforma (PCR) 12 no documento de atestado na solicitação. O PCR12 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR13	Filtra o acesso pelo registro de configuração da plataforma (PCR) 13 no documento de atestado na solicitação. O PCR13 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR14	Filtra o acesso pelo registro de configuração da plataforma (PCR) 14 no documento de atestado na solicitação. O PCR14 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR15	Filtra o acesso pelo registro de configuração da plataforma (PCR) 15 no documento de atestado na solicitação. O PCR15 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR16	Filtra o acesso pelo registro de configuração da plataforma (PCR) 16 no documento de atestado na solicitação. O PCR16 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR17	Filtra o acesso pelo registro de configuração da plataforma (PCR) 17 no documento de atestado na solicitação. O PCR17 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR18	Filtra o acesso pelo registro de configuração da plataforma (PCR) 18 no documento de atestado na solicitação. O PCR18 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR19	Filtra o acesso pelo registro de configuração da plataforma (PCR) 19 no documento de atestado na solicitação. O PCR19 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR2	Filtra o acesso pelo registro de configuração da plataforma (PCR) 2 no documento de atestado na solicitação. O PCR2 é uma medida contígua e ordenada das aplicações do usuário, sem as ramfs de inicialização	String
kms:RecipientAttestation:PCR20	Filtra o acesso pelo registro de configuração da plataforma (PCR) 20 no documento de atestado na solicitação. O PCR20 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR21	Filtra o acesso pelo registro de configuração da plataforma (PCR) 21 no documento de atestado na solicitação. O PCR21 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR22	Filtra o acesso pelo registro de configuração da plataforma (PCR) 22 no documento de atestado na solicitação. O PCR22 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR23	Filtra o acesso pelo registro de configuração da plataforma (PCR) 23 no documento de atestado na solicitação. O PCR23 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR24	Filtra o acesso pelo registro de configuração da plataforma (PCR) 24 no documento de atestado na solicitação. O PCR24 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR25	Filtra o acesso pelo registro de configuração da plataforma (PCR) 25 no documento de atestado na solicitação. O PCR25 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR26	Filtra o acesso pelo registro de configuração da plataforma (PCR) 26 no documento de atestado na solicitação. O PCR26 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR27	Filtra o acesso pelo registro de configuração da plataforma (PCR) 27 no documento de atestado na solicitação. O PCR27 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR28	Filtra o acesso pelo registro de configuração da plataforma (PCR) 28 no documento de atestado na solicitação. O PCR28 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR29	Filtra o acesso pelo registro de configuração da plataforma (PCR) 29 no documento de atestado na solicitação. O PCR29 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR3	Filtra o acesso pelo registro de configuração da plataforma (PCR) 3 no documento de atestado na solicitação. O PCR3 é uma medida contígua do perfil do IAM atribuído à instância principal	String
kms:RecipientAttestation:PCR30	Filtra o acesso pelo registro de configuração da plataforma (PCR) 30 no documento de atestado na solicitação. O PCR30 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR31	Filtra o acesso pelo registro de configuração da plataforma (PCR) 31 no documento de atestado na solicitação. O PCR31 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR4	Filtra o acesso pelo registro de configuração da plataforma (PCR) 4 no documento de atestado na solicitação. O PCR4 é uma medida contígua do ID da instância principal	String
kms:RecipientAttestation:PCR5	Filtra o acesso pelo registro de configuração da plataforma (PCR) 5 no documento de atestado na solicitação. O PCR5 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR6	Filtra o acesso pelo registro de configuração da plataforma (PCR) 6 no documento de atestado na solicitação. O PCR6 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR7	Filtra o acesso pelo registro de configuração da plataforma (PCR) 7 no documento de atestado na solicitação. O PCR7 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:RecipientAttestation:PCR8	Filtra o acesso pelo registro de configuração da plataforma (PCR) 8 no documento de atestado na solicitação. O PCR8 é uma medida do certificado de assinatura especificado para o arquivo de imagem do enclave	String
kms:RecipientAttestation:PCR9	Filtra o acesso pelo registro de configuração da plataforma (PCR) 9 no documento de atestado na solicitação. O PCR9 é um PCR personalizado que pode ser definido pelo usuário para casos de uso específicos	String
kms:ReplicaRegion	Filtra o acesso à operação ReplicateKey com base no valor do parâmetro ReplicaRegion na solicitação	String
kms:RequestAlias	Filtra o acesso a operações criptográficas, DescribeKey e GetPublicKey com base no alias na solicitação	String
kms:ResourceAliases	Filtra o acesso às operações do AWS KMS especificadas com base em aliases associados à chave do AWS KMS	ArrayOfString
kms:RetiringPrincipal	Filtra o acesso à operação CreateGrant com base no principal de retirada na concessão	String
kms:RotationPeriodInDays	Filtra o acesso à operação EnableKeyRotation com base no valor do parâmetro RotationPeriodInDays na solicitação	Numérico
kms:ScheduleKeyDeletionPendingWindowInDays	Filtra o acesso à operação ScheduleKeyDeletion com base no valor do parâmetro PendingWindowInDays na solicitação	Numérico
kms:SigningAlgorithm	Filtra o acesso às operações Sign and Verify com base no algoritmo de assinatura na solicitação	String
kms:ValidTo	Filtra o acesso à operação ImportKeyMaterial com base no valor do parâmetro ValidTo na solicitação. Você pode usar essa chave de condição para permitir que os usuários importem material de chave somente quando expirar até a data especificada	Data
kms:ViaService	Filtra o acesso quando uma solicitação feita em nome do principal vem de um serviço da AWSespecificado	String
kms:WrappingAlgorithm	Filtra o acesso à operação GetParametersForImport com base no valor do parâmetro WrappingAlgorithm na solicitação	String
kms:WrappingKeySpec	Filtra o acesso à operação GetParametersForImport com base no valor do parâmetro WrappingKeySpec na solicitação	String

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon Kendra Intelligent Ranking

Amazon Keyspaces (for Apache Cassandra)