Я хочу, чтобы ACM управлял сертификатом TLS, который я загружаю в консоль. Однако предполагаемая роль AWS может получить доступ к действиям KMS, но только с определенного набора адресов IPv4. Мне, вероятно, потребуется добавить исключение для набора действий KMS, но я бы предпочел не просто указывать «*» в своей политике.
Какой набор действий KMS является минимально необходимым для того, что мне нужно?