Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS KMS Berechtigungen
Diese Tabelle soll Ihnen helfen, die AWS KMS Berechtigungen zu verstehen, sodass Sie den Zugriff auf Ihre AWS KMS Ressourcen kontrollieren können. Definitionen der Spaltenüberschriften werden unter der Tabelle angezeigt.
Informationen zu AWS KMS Berechtigungen finden Sie auch in den Abschnitten [Aktionen, Ressourcen und Bedingungsschlüssel zum AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html) Thema *Service Authorization Reference*. In diesem Thema werden jedoch nicht alle Bedingungsschlüssel aufgeführt, die Sie zum Verfeinern jeder Berechtigung verwenden können.
Weitere Informationen darüber, welche AWS KMS Operationen für KMS-Schlüssel mit symmetrischer Verschlüsselung, asymmetrische KMS-Schlüssel und HMAC-KMS-Schlüssel gültig sind, finden Sie unter. [Schlüsseltypreferenz](symm-asymm-compare.md)
**Anmerkung**
Möglicherweise müssen Sie horizontal oder vertikal scrollen, um alle Daten in der Tabelle anzuzeigen.
- ** [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html) `kms:CancelKeyDeletion` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) `kms:ConnectCustomKeyStore`**
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) `kms:CreateAlias` Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung `kms:CreateAlias` für zwei Ressourcen: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/kms-api-permissions-reference.html) Details hierzu finden Sie unter [Steuern des Zugriffs auf Aliasse](alias-access.md). **
- **Richtlinientyp:** IAM-Richtlinie (für den Alias) / **Kontoübergreifende Verwendung:** Nein / **Ressourcen (für IAM-Richtlinien):** Alias / **AWS KMS Bedingungsschlüssel:** Keine (bei der Steuerung des Zugriffs auf den Alias)
- **Richtlinientyp:** Schlüsselrichtlinie (für den KMS-Schlüssel) / **Kontoübergreifende Verwendung:** Nein / **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel / **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)`kms:CreateCustomKeyStore`**
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) `kms:CreateGrant` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für Erteilungen:*
[km: GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type)
[km: GranteePrincipal](conditions-kms.md#conditions-kms-grantee-principal)
[km: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource)
[km: GrantOperations](conditions-kms.md#conditions-kms-grant-operations)
[km: RetiringPrincipal](conditions-kms.md#conditions-kms-retiring-principal)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) `kms:CreateKey` **
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** [km: BypassPolicyLockoutSafetyCheck](conditions-kms.md#conditions-kms-bypass-policy-lockout-safety-check)
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
[aws:RequestTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) (AWS globaler Bedingungsschlüssel)
[aws:ResourceTag/*tag-key (globaler Bedingungsschlüssel*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag))AWS
[aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) (AWS globaler Bedingungsschlüssel)
- ** [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) `kms:Decrypt` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für kryptografische Operationen*
[km: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html) `kms:DeleteAlias` Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung `kms:DeleteAlias` für zwei Ressourcen: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/kms-api-permissions-reference.html) Details hierzu finden Sie unter [Steuern des Zugriffs auf Aliasse](alias-access.md). **
- **Richtlinientyp:** IAM-Richtlinie (für den Alias) / **Kontoübergreifende Verwendung:** Nein / **Ressourcen (für IAM-Richtlinien):** Alias / **AWS KMS Bedingungsschlüssel:** Keine (bei der Steuerung des Zugriffs auf den Alias)
- **Richtlinientyp:** Schlüsselrichtlinie (für den KMS-Schlüssel) / **Kontoübergreifende Verwendung:** Nein / **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel / **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)`kms:DeleteCustomKeyStore`**
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) `kms:DeleteImportedKeyMaterial` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)`kms:DeriveSharedSecret`**
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)Bedingungen für kryptografische Operationen
[km: KeyAgreementAlgorithm](conditions-kms.md#conditions-kms-key-agreement-algorithm)
- **[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)`kms:DescribeCustomKeyStores`**
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) `kms:DescribeKey` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
- ** [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) `kms:DisableKey` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html) `kms:DisableKeyRotation` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)`kms:DisconnectCustomKeyStore`**
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) `kms:EnableKey` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) `kms:EnableKeyRotation` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Bedingungen für die automatische Schlüsselrotation:*
[km: RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)
- ** [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) `kms:Encrypt` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für kryptografische Operationen*
[km: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) `kms:GenerateDataKey` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für kryptografische Operationen*
[km: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) `kms:GenerateDataKeyPair` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
Generierung eines asymmetrischen Datenschlüsselpaars, das durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung geschützt ist.
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für Datenschlüsselpaare:*
[km: DataKeyPairSpec](conditions-kms.md#conditions-kms-data-key-spec)
*Bedingungen für kryptografische Operationen*
[km: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) `kms:GenerateDataKeyPairWithoutPlaintext` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
Generierung eines asymmetrischen Datenschlüsselpaars, das durch einen KMS-Schlüssel mit symmetrischer Verschlüsselung geschützt ist.
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für Datenschlüsselpaare:*
[km: DataKeyPairSpec](conditions-kms.md#conditions-kms-data-key-spec)
*Bedingungen für kryptografische Operationen*
[km: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) `kms:GenerateDataKeyWithoutPlaintext` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für kryptografische Operationen*
[km: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)`kms:GenerateMac`**
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)Bedingungen für kryptografische Operationen
[km: MacAlgorithm](conditions-kms.md#conditions-kms-mac-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
- ** [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) `kms:GenerateRandom` **
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** –
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** Keine
- ** [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) `kms:GetKeyPolicy` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) `kms:GetKeyRotationStatus` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) `kms:GetParametersForImport` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** [km: WrappingAlgorithm](conditions-kms.md#conditions-kms-wrapping-algorithm)
[km: WrappingKeySpec](conditions-kms.md#conditions-kms-wrapping-key-spec)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html) `kms:GetPublicKey` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
- ** [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) `kms:ImportKeyMaterial` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*[km: ExpirationModel](conditions-kms.md#conditions-kms-expiration-model)
[km: ValidTo](conditions-kms.md#conditions-kms-valid-to)
- ** [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html) `kms:ListAliases` **
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** Keine
- ** [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html) `kms:ListGrants` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*
[km: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource)
- ** [ListKeyPolicies](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyPolicies.html) `kms:ListKeyPolicies` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html) `kms:ListKeyRotations` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) `kms:ListKeys` **
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** Keine
- ** [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html) `kms:ListResourceTags` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ListRetirableGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListRetirableGrants.html) `kms:ListRetirableGrants` **
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Der angegebene Prinzipal muss sich im lokalen Konto befinden, aber die Produktion gibt Erteilungen in allen Konten zurück.
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** Keine
- ** [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) `kms:PutKeyPolicy` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*
[km: BypassPolicyLockoutSafetyCheck](conditions-kms.md#conditions-kms-bypass-policy-lockout-safety-check)
- ** [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) `kms:ReEncryptFrom` `kms:ReEncryptTo` Um diese Produktion verwenden zu können, benötigt der Anrufer die Berechtigung für zwei KMS-Schlüssel: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/kms-api-permissions-reference.html) **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für kryptografische Operationen*
[km: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*
[km: ReEncryptOnSameKey](conditions-kms.md#conditions-kms-reencrypt-on-same-key)
- ** [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) `kms:ReplicateKey` Um diese Produktion verwenden zu können, benötigt der Anrufer die folgenden Berechtigungen: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/kms-api-permissions-reference.html) **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*
[km: ReplicaRegion](conditions-kms.md#conditions-kms-replica-region)
- ** [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) `kms:RetireGrant` Die Berechtigung zur Außerbetriebnahme einer Erteilung wird hauptsächlich durch die Erteilung bestimmt. Eine Richtlinie allein kann den Zugriff auf diese Produktion nicht erlauben. Weitere Informationen finden Sie unter [Außerbetriebnahme und Widerruf von Erteilungen](grant-delete.md). **
- **Richtlinientyp:** IAM-Richtlinie
(Diese Berechtigung ist in einer Schlüsselrichtlinie nicht wirksam.)
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für den Verschlüsselungskontext:*
[kms:EncryptionContext: *Kontextschlüssel*](conditions-kms.md#conditions-kms-encryption-context-keys)
[km: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Bedingungen für Erteilungen:*
[km: GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) `kms:RevokeGrant` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen:*
[km: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource)
- ** [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) `kms:RotateKeyOnDemand` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) `kms:ScheduleKeyDeletion` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) `kms:Sign` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für Signatur und Verifizierung:*
[km: MessageType](conditions-kms.md#conditions-kms-message-type)[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
[km: SigningAlgorithm](conditions-kms.md#conditions-kms-signing-algorithm)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) `kms:TagResource` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Bedingungen für Markierung:*
[aws:RequestTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) (AWS globaler Bedingungsschlüssel)
[aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) (AWS globaler Bedingungsschlüssel)
- ** [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html) `kms:UntagResource` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Bedingungen für Markierung:*
[aws:RequestTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) (AWS globaler Bedingungsschlüssel)
[aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) (AWS globaler Bedingungsschlüssel)
- ** [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) `kms:UpdateAlias` Um diese Produktion verwenden zu können, benötigt der Aufrufer die Berechtigung `kms:UpdateAlias` für drei Ressourcen: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/kms-api-permissions-reference.html) Details hierzu finden Sie unter [Steuern des Zugriffs auf Aliasse](alias-access.md). **
- **Richtlinientyp:** IAM-Richtlinie (für den Alias) / **Kontoübergreifende Verwendung:** Nein / **Ressourcen (für IAM-Richtlinien):** Alias / **AWS KMS Bedingungsschlüssel:** Keine (bei der Steuerung des Zugriffs auf den Alias)
- **Richtlinientyp:** Schlüsselrichtlinie (für die KMS-Schlüssel) / **Kontoübergreifende Verwendung:** Nein / **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel / **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)`kms:UpdateCustomKeyStore`**
- **Richtlinientyp:** IAM-Richtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** `*`
- **AWS KMS Bedingungsschlüssel:** [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html) `kms:UpdateKeyDescription` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) `kms:UpdatePrimaryRegion` Um diese Produktion verwenden zu können, benötigt der Aufrufer die `kms:UpdatePrimaryRegion`-Berechtigung sowohl für den [multiregionalen Primärschlüssel](multi-region-keys-overview.md#mrk-primary-key), der zu einem Replikatschlüssel wird, und den [multiregionalen Replikatschlüssel](multi-region-keys-overview.md#mrk-replica-key), der zum Primärschlüssel wird. **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Nein
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
*Andere Bedingungen*
[km: PrimaryRegion](conditions-kms.md#conditions-kms-primary-region)
- ** [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) `kms:Verify` **
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für Signatur und Verifizierung:*
[km: MessageType](conditions-kms.md#conditions-kms-message-type)[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
[km: SigningAlgorithm](conditions-kms.md#conditions-kms-signing-algorithm)
*Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)`kms:VerifyMac`**
- **Richtlinientyp:** Schlüsselrichtlinie
- **Kontoübergreifende Verwendung:** Ja
- **Ressourcen (für IAM-Richtlinien):** KMS-Schlüssel
- **AWS KMS Bedingungsschlüssel:** *Bedingungen für KMS-Schlüssel-Operationen:*
[km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[km: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[km: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[km: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) (AWS globaler Bedingungsschlüssel)
[km: ViaService](conditions-kms.md#conditions-kms-via-service)Bedingungen für kryptografische Operationen
[km: MacAlgorithm](conditions-kms.md#conditions-kms-mac-algorithm)
[km: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
## Beschreibungen der Spalten
Die Spalten in dieser Tabelle enthalten folgende Informationen:
+ **Unter Aktionen und Berechtigungen werden alle AWS KMS API-Operationen und die Berechtigungen** aufgeführt, die den Vorgang zulassen. Sie geben die Produktion im `Action`-Element einer Richtlinienanweisung an.
+ **Policy type (Richtlinientyp)** gibt an, ob die Berechtigung in einer Schlüsselrichtlinie oder einer IAM-Richtlinie verwendet werden kann.
*Key policy (Schlüsselrichtlinie)* bedeutet, dass Sie die Berechtigung in der Schlüsselrichtlinie angeben können. Wenn die Schlüsselrichtlinie die [Richtlinienanweisung zur Aktivierung von IAM-Richtlinien](key-policy-default.md#key-policy-default-allow-root-enable-iam) enthält, können Sie die Berechtigung in einer IAM-Richtlinie angeben.
*IAM policy (IAM-Richtlinie)* bedeutet, dass Sie die Berechtigung nur in einer IAM-Richtlinie angeben können.
+ **Kontenübergreifende Verwendung** zeigt die Operationen an, die autorisierte Benutzer für Ressourcen in einem anderen AWS-Konto ausführen können.
Ein Wert von *Ja* bedeutet, dass Prinzipale die Produktion für Ressourcen in einem anderen AWS-Konto ausführen können.
Ein Wert von *No (Nein)* bedeutet, dass Prinzipale die Produktion nur auf Ressourcen in ihrem eigenen AWS-Konto ausführen können.
Wenn Sie einem Prinzipal in einem anderen Konto eine Berechtigung erteilen, die nicht für eine kontoübergreifende Ressource verwendet werden kann, ist die Berechtigung nicht wirksam. Wenn Sie beispielsweise einem Prinzipal in einem anderen Konto die TagResource Berechtigung [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) für einen KMS-Schlüssel in Ihrem Konto erteilen, schlagen seine Versuche fehl, den KMS-Schlüssel in Ihrem Konto zu kennzeichnen.
+ **Resources** listet die AWS KMS Ressourcen auf, für die die Berechtigungen gelten. AWS KMS unterstützt zwei Ressourcentypen: einen KMS-Schlüssel und einen Alias. In einer Schlüsselrichtlinie ist der Wert des `Resource`-Elements stets `*`. Dies gibt den KMS-Schlüssel an, dem die Schlüsselrichtlinie angefügt ist.
Verwenden Sie die folgenden Werte, um eine AWS KMS Ressource in einer IAM-Richtlinie darzustellen.
**KMS-Schlüssel**
Wenn es sich bei der Ressource um einen KMS-Schlüssel handelt, verwenden Sie dessen [Schlüssel-ARN](concepts.md#key-id-key-ARN). Weitere Informationen dazu finden Sie unter [Abrufen von Schlüssel-ID und Schlüssel-ARN](find-cmk-id-arn.md).
`arn:{{AWS_partition_name}}:kms:{{AWS_Region}}:{{AWS_account_ID}}:key/{{key_ID}}`
Beispiel:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
**Alias**
Wenn es sich bei der Ressource um einen Alias handelt, verwenden Sie den [Alias-ARN](concepts.md#key-id-alias-ARN). Weitere Informationen dazu finden Sie unter [Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel](alias-view.md).
`arn:{{AWS_partition_name}}:kms:{{AWS_region}}:{{AWS_account_ID}}:alias/{{alias_name}}`
Beispiel:
arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias
**`*` (Sternchen)**
Wenn die Berechtigung nicht für eine bestimmte Ressource (KMS-Schlüssel oder Alias) gilt, verwenden Sie ein Sternchen (`*`).
In einer IAM-Richtlinie für eine Berechtigung steht ein Sternchen im Element für alle Ressourcen (KMS-Schlüssel und Aliase). AWS KMS `Resource` AWS KMS Sie können in dem `Resource` Element auch ein Sternchen verwenden, wenn die AWS KMS Berechtigung nicht für bestimmte KMS-Schlüssel oder -Aliase gilt. Wenn Sie beispielsweise eine `kms:ListKeys` Erlaubnis zulassen `kms:CreateKey` oder verweigern, müssen Sie das `Resource` Element auf setzen. `*`
+ **AWS KMS Bedingungstasten** listet die AWS KMS Bedingungsschlüssel auf, mit denen Sie den Zugriff auf den Vorgang steuern können. Sie geben Bedingungen im `Condition`-Element einer Richtlinie an. Weitere Informationen finden Sie unter [AWS KMS Bedingungsschlüssel](conditions-kms.md). Diese Spalte enthält auch [AWS globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), die von AWS KMS, aber nicht von allen AWS Diensten unterstützt werden.