As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS KMS permissões
Essa tabela foi criada para ajudar você a entender AWS KMS as permissões para que você possa controlar o acesso aos seus AWS KMS recursos. As definições dos cabeçalhos das colunas aparecem abaixo da tabela.
Você também pode aprender sobre AWS KMS permissões no AWS Key Management Service tópico [Ações, recursos e chaves de condição](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html) do *Service Authorization Reference*. No entanto, esse tópico não lista todas as chaves de condição que você pode usar para refinar cada permissão.
Para obter mais informações sobre quais AWS KMS operações são válidas para chaves KMS de criptografia simétrica, chaves KMS assimétricas e chaves HMAC KMS, consulte o. [Referência de tipos de chaves](symm-asymm-compare.md)
**nota**
Talvez seja necessário rolar horizontalmente ou verticalmente para ver todos os dados da tabela.
- ** [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html) `kms:CancelKeyDeletion` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) `kms:ConnectCustomKeyStore`**
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** [kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) `kms:CreateAlias` Para usar essa operação, o chamador precisa da permissão `kms:CreateAlias` em dois recursos: [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/kms-api-permissions-reference.html) Para obter detalhes, consulte [Controlar o acesso a aliases](alias-access.md). **
- **Tipo de política:** Política do IAM (para o alias) / **Uso entre contas:** Não / **Recursos (para políticas do IAM):** Alias / **AWS KMS chaves de condição:** Nenhum (quando controlar o acesso ao alias)
- **Tipo de política:** Política de chaves (para a chave do KMS) / **Uso entre contas:** Não / **Recursos (para políticas do IAM):** Chave do KMS / **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)`kms:CreateCustomKeyStore`**
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** [kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) `kms:CreateGrant` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições de concessão:*
[kms: GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type)
[kms: GranteePrincipal](conditions-kms.md#conditions-kms-grantee-principal)
[kms: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource)
[kms: GrantOperations](conditions-kms.md#conditions-kms-grant-operations)
[kms: RetiringPrincipal](conditions-kms.md#conditions-kms-retiring-principal)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) `kms:CreateKey` **
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** [kms: BypassPolicyLockoutSafetyCheck](conditions-kms.md#conditions-kms-bypass-policy-lockout-safety-check)
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
[aws:RequestTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) de condição AWS global)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) (chave de condição AWS global)
- ** [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) `kms:Decrypt` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações criptográficas*
[kms: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html) `kms:DeleteAlias` Para usar essa operação, o chamador precisa da permissão `kms:DeleteAlias` em dois recursos: [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/kms-api-permissions-reference.html) Para obter detalhes, consulte [Controlar o acesso a aliases](alias-access.md). **
- **Tipo de política:** Política do IAM (para o alias) / **Uso entre contas:** Não / **Recursos (para políticas do IAM):** Alias / **AWS KMS chaves de condição:** Nenhum (quando controlar o acesso ao alias)
- **Tipo de política:** Política de chaves (para a chave do KMS) / **Uso entre contas:** Não / **Recursos (para políticas do IAM):** Chave do KMS / **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)`kms:DeleteCustomKeyStore`**
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** [kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) `kms:DeleteImportedKeyMaterial` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)`kms:DeriveSharedSecret`**
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)Condições para operações criptográficas:
[kms: KeyAgreementAlgorithm](conditions-kms.md#conditions-kms-key-agreement-algorithm)
- **[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)`kms:DescribeCustomKeyStores`**
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** [kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) `kms:DescribeKey` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
- ** [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) `kms:DisableKey` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html) `kms:DisableKeyRotation` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)`kms:DisconnectCustomKeyStore`**
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** [kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) `kms:EnableKey` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) `kms:EnableKeyRotation` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Condições de alternância automática de chaves:*
[kms: RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)
- ** [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) `kms:Encrypt` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações criptográficas*
[kms: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) `kms:GenerateDataKey` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações criptográficas*
[kms: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) `kms:GenerateDataKeyPair` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave KMS
Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.
- **AWS KMS chaves de condição:** *Condições para pares de chaves de dados:*
[kms: DataKeyPairSpec](conditions-kms.md#conditions-kms-data-key-spec)
*Condições para operações criptográficas*
[kms: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) `kms:GenerateDataKeyPairWithoutPlaintext` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave KMS
Gera um par de chaves de dados assimétricas que é protegido por uma chave do KMS de criptografia simétrica.
- **AWS KMS chaves de condição:** *Condições para pares de chaves de dados:*
[kms: DataKeyPairSpec](conditions-kms.md#conditions-kms-data-key-spec)
*Condições para operações criptográficas*
[kms: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) `kms:GenerateDataKeyWithoutPlaintext` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações criptográficas*
[kms: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)`kms:GenerateMac`**
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)Condições para operações criptográficas:
[kms: MacAlgorithm](conditions-kms.md#conditions-kms-mac-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
- ** [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) `kms:GenerateRandom` **
- **Tipo de política:** Política do IAM
- **Uso entre contas:** N/D
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** Nenhum
- ** [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) `kms:GetKeyPolicy` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) `kms:GetKeyRotationStatus` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) `kms:GetParametersForImport` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave KMS
- **AWS KMS chaves de condição:** [kms: WrappingAlgorithm](conditions-kms.md#conditions-kms-wrapping-algorithm)
[kms: WrappingKeySpec](conditions-kms.md#conditions-kms-wrapping-key-spec)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html) `kms:GetPublicKey` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
- ** [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) `kms:ImportKeyMaterial` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*[kms: ExpirationModel](conditions-kms.md#conditions-kms-expiration-model)
[kms: ValidTo](conditions-kms.md#conditions-kms-valid-to)
- ** [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html) `kms:ListAliases` **
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** Nenhum
- ** [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html) `kms:ListGrants` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*
[kms: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource)
- ** [ListKeyPolicies](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyPolicies.html) `kms:ListKeyPolicies` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html) `kms:ListKeyRotations` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) `kms:ListKeys` **
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** Nenhum
- ** [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html) `kms:ListResourceTags` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ListRetirableGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListRetirableGrants.html) `kms:ListRetirableGrants` **
- **Tipo de política:** Política do IAM
- **Uso entre contas:** A entidade principal especificada deve estar na conta local, mas a operação retorna concessões em todas as contas.
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** Nenhum
- ** [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) `kms:PutKeyPolicy` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*
[kms: BypassPolicyLockoutSafetyCheck](conditions-kms.md#conditions-kms-bypass-policy-lockout-safety-check)
- ** [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) `kms:ReEncryptFrom` `kms:ReEncryptTo` Para usar essa operação, o autor da chamada precisa de permissão em duas chaves do KMS: [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/kms-api-permissions-reference.html) **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações criptográficas*
[kms: EncryptionAlgorithm](conditions-kms.md#conditions-kms-encryption-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
*Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*
[kms: ReEncryptOnSameKey](conditions-kms.md#conditions-kms-reencrypt-on-same-key)
- ** [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) `kms:ReplicateKey` Para usar essa operação, o autor da chamada precisa das seguintes permissões: [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/kms-api-permissions-reference.html) **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*
[kms: ReplicaRegion](conditions-kms.md#conditions-kms-replica-region)
- ** [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) `kms:RetireGrant` A permissão para retirar uma concessão é determinada principalmente pela concessão. Uma política por si só não pode permitir o acesso a essa operação. Para obter mais informações, consulte [Retirar e revogar concessões](grant-delete.md). **
- **Tipo de política:** Política do IAM
(Essa permissão não é eficaz em uma política de chave.)
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para contexto de criptografia:*
[*kms:EncryptionContext: chave de contexto*](conditions-kms.md#conditions-kms-encryption-context-keys)
[kms: EncryptionContextKeys](conditions-kms.md#conditions-kms-encryption-context-keys)
*Condições de concessão:*
[kms: GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) `kms:RevokeGrant` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições:*
[kms: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource)
- ** [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) `kms:RotateKeyOnDemand` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) `kms:ScheduleKeyDeletion` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) `kms:Sign` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave KMS
- **AWS KMS chaves de condição:** *Condições para assinatura e verificação:*
[kms: MessageType](conditions-kms.md#conditions-kms-message-type)[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
[kms: SigningAlgorithm](conditions-kms.md#conditions-kms-signing-algorithm)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) `kms:TagResource` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Condições para marcação:*
[aws:RequestTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) de condição AWS global)
[aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) (chave de condição AWS global)
- ** [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html) `kms:UntagResource` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Condições para marcação:*
[aws:RequestTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) de condição AWS global)
[aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) (chave de condição AWS global)
- ** [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) `kms:UpdateAlias` Para usar essa operação, o chamador precisa da permissão `kms:UpdateAlias` em três recursos: [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/kms-api-permissions-reference.html) Para obter detalhes, consulte [Controlar o acesso a aliases](alias-access.md). **
- **Tipo de política:** Política do IAM (para o alias) / **Uso entre contas:** Não / **Recursos (para políticas do IAM):** Alias / **AWS KMS chaves de condição:** Nenhum (quando controlar o acesso ao alias)
- **Tipo de política:** Política de chaves (para as chaves do KMS) / **Uso entre contas:** Não / **Recursos (para políticas do IAM):** Chave do KMS / **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)`kms:UpdateCustomKeyStore`**
- **Tipo de política:** Política do IAM
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** `*`
- **AWS KMS chaves de condição:** [kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
- ** [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html) `kms:UpdateKeyDescription` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- ** [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) `kms:UpdatePrimaryRegion` Para usar essa operação, o autor da chamada precisa da permissão `kms:UpdatePrimaryRegion` na [chave primária de várias regiões](multi-region-keys-overview.md#mrk-primary-key) que se tornará uma chave de réplica e também na [chave de réplica de várias regiões](multi-region-keys-overview.md#mrk-replica-key) que se tornará a chave primária. **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Não
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
*Outras condições*
[kms: PrimaryRegion](conditions-kms.md#conditions-kms-primary-region)
- ** [Verificar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) `kms:Verify` **
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave KMS
- **AWS KMS chaves de condição:** *Condições para assinatura e verificação:*
[kms: MessageType](conditions-kms.md#conditions-kms-message-type)[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
[kms: SigningAlgorithm](conditions-kms.md#conditions-kms-signing-algorithm)
*Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)
- **[VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)`kms:VerifyMac`**
- **Tipo de política:** Política de chave
- **Uso entre contas:** Sim
- **Recursos (para políticas do IAM):** Chave do KMS
- **AWS KMS chaves de condição:** *Condições para operações de chave do KMS:*
[kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
[kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
[kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
[kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
[kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion)
[kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type)
[kms: ResourceAliases](conditions-kms.md#conditions-kms-resource-aliases)
[aws:ResourceTag/*tag-key (chave*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de condição AWS global)
[kms: ViaService](conditions-kms.md#conditions-kms-via-service)Condições para operações criptográficas:
[kms: MacAlgorithm](conditions-kms.md#conditions-kms-mac-algorithm)
[kms: RequestAlias](conditions-kms.md#conditions-kms-request-alias)
## Descrições das colunas
As colunas nesta tabela fornecem as seguintes informações:
+ **Ações e permissões** listam cada operação da AWS KMS API e a permissão que permite a operação. Você especifica a operação no elemento `Action` de uma instrução de política.
+ **Tipo de política** indica se a permissão pode ser usada em uma política de chaves ou política do IAM.
*Política de chaves* significa que você pode especificar a permissão na política de chaves. Quando a política de chaves contém a [instrução de política que permite políticas do IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam), você pode especificar as permissões em uma política do IAM.
*Política do IAM* significa que você pode especificar a permissão apenas em uma política do IAM.
+ **Uso entre contas** mostra as operações que os usuários autorizados podem executar em recursos em uma Conta da AWS diferente.
Um valor de *Yes* (Sim) significa que as entidades principais podem executar a operação em recursos em uma Conta da AWS diferente.
Um valor de *No* (Não) significa que as entidades principais podem executar a operação somente em recursos da própria Conta da AWS.
Se você conceder a uma entidade principal em uma conta diferente uma permissão que não pode ser usada em um recurso entre contas, essa permissão não será efetiva. Por exemplo, se você der TagResource permissão a um principal em uma conta diferente [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) para uma chave KMS em sua conta, as tentativas dele de marcar a chave KMS em sua conta falharão.
+ **Recursos** lista os AWS KMS recursos aos quais as permissões se aplicam. AWS KMS suporta dois tipos de recursos: uma chave KMS e um alias. Em uma política de chaves, o valor do elemento `Resource` é sempre `*`, o que indica a chave do KMS à qual a política de chaves está anexada.
Use os valores a seguir para representar um AWS KMS recurso em uma política do IAM.
**Chave KMS**
Quando o recurso for uma chave do KMS, use seu [ARN de chave](concepts.md#key-id-key-ARN). Para obter ajuda, consulte [Encontrar o ID e o ARN da chave](find-cmk-id-arn.md).
`arn:{{AWS_partition_name}}:kms:{{AWS_Region}}:{{AWS_account_ID}}:key/{{key_ID}}`
Por exemplo:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
**Alias**
Quando o recurso for um alias, use seu [ARN do alias](concepts.md#key-id-alias-ARN). Para obter ajuda, consulte [Encontrar o nome e o ARN do alias para uma chave do KMS](alias-view.md).
`arn:{{AWS_partition_name}}:kms:{{AWS_region}}:{{AWS_account_ID}}:alias/{{alias_name}}`
Por exemplo:
arn: aws: kms: us-west- 2:111122223333:alias/ ExampleAlias
**`*` (asterisco)**
Quando a permissão não se aplicar a um recurso específico (chave do KMS ou alias), use um asterisco (`*`).
Em uma política do IAM para uma AWS KMS permissão, um asterisco no `Resource` elemento indica todos os AWS KMS recursos (chaves e aliases do KMS). Você também pode usar um asterisco no `Resource` elemento quando a AWS KMS permissão não se aplica a nenhuma chave ou alias KMS em particular. Por exemplo, ao permitir ou negar a permissão `kms:CreateKey` ou `kms:ListKeys`, você deve definir o elemento `Resource` como `*`.
+ **AWS KMS as chaves** de AWS KMS condição listam as chaves de condição que você pode usar para controlar o acesso à operação. Especifique as condições no elemento `Condition` de uma política. Para obter mais informações, consulte [AWS KMS chaves de condição](conditions-kms.md). Essa coluna também inclui [chaves de condição AWS globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) que são suportadas por AWS KMS, mas não por todos os AWS serviços.