AWS política gestionada: AWSKey ManagementServicePowerUser AWS política gestionada: AWSService RoleForKeyManagementServiceCustomKeyStores AWS política gestionada: AWSService RoleForKeyManagementServiceMultiRegionKeys AWS KMS actualizaciones de las políticas gestionadas AWS

AWS políticas gestionadas para AWS Key Management Service

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

AWS política gestionada: AWSKey ManagementServicePowerUser

Puede adjuntar la política AWSKeyManagementServicePowerUser a las identidades de IAM.

Puede utilizar la política administrada de AWSKeyManagementServicePowerUser para dar a las entidades principales de IAM en su cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear claves KMS, usar y administrar las claves KMS que crean y ver todas las claves KMS e identidades de IAM. Las entidades principales que tienen la política administrada AWSKeyManagementServicePowerUser también pueden obtener permisos de otras fuentes, incluidas las políticas de claves, otras políticas de IAM y las concesiones.

AWSKeyManagementServicePowerUseres una política de IAM AWS gestionada. Para obtener más información sobre las políticas AWS gestionadas, consulte las políticas AWS gestionadas en la Guía del usuario de IAM.

nota

Los permisos de esta política que son específicos para una clave KMS, como kms:TagResource y kms:GetKeyRotationStatus, solo son efectivos cuando la política de la clave para esa clave KMS permite explícitamente que la Cuenta de AWS utilice las políticas de IAM para controlar el acceso a la clave. Para determinar si un permiso es específico para una clave KMS, consulte AWS KMS permisos y busque un valor de clave KMS en la columna Resources (Recursos).

Esta política proporciona al usuario avanzado permisos sobre cualquier clave KMS con una política de claves que permita la operación. En el caso de los permisos entre cuentas, como kms:DescribeKey y kms:ListGrants, esto podría incluir las claves KMS en Cuentas de AWS no confiables. Para más detalles, consulte Prácticas recomendadas para las políticas de IAM y Permitir a los usuarios de otras cuentas utilizar una clave KMS. Para determinar si un permiso es válido en las claves KMS de otras cuentas, consulte AWS KMS permisos y busque un valor Yes (Sí) en la columna Cross-account use (Uso entre cuentas).

Para que los directores puedan ver la AWS KMS consola sin errores, el director necesita la etiqueta: GetResources permission, que no está incluida en la AWSKeyManagementServicePowerUser política. Puede autorizar este permiso en una política de IAM independiente.

La política de IAM administrada AWSKeyManagementServicePowerUser debe incluir los siguientes permisos.

Permite a las entidades principales crear claves KMS. Dado que este proceso incluye la configuración de la política de claves, los usuarios avanzados pueden concederse a sí mismos y a otros permisos para usar y administrar las claves KMS que crean.
Permite a las entidades principales crear y eliminar alias y etiquetas en todas las claves KMS. Si cambia una etiqueta o un alias, puede permitir o denegar el permiso para usar y administrar la clave KMS. Para obtener más información, consulte ABAC para AWS KMS.
Permite a las entidades principales obtener información detallada sobre todas las claves KMS, incluyendo su ARN clave, configuración criptográfica, política de claves, alias, etiquetas y estado de rotación.
Permite a las entidades principales enumerar usuarios, grupos y roles de IAM.
Esta política no permite a las entidades principales utilizar o administrar claves KMS que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las claves KMS, lo que podría permitirles o denegarles el permiso para utilizar o administrar una clave KMS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gestionada: AWSService RoleForKeyManagementServiceCustomKeyStores

No puede asociar AWSServiceRoleForKeyManagementServiceCustomKeyStores a sus entidades IAM. Esta política está asociada a un rol vinculado a un servicio que permite AWS KMS ver los AWS CloudHSM clústeres asociados a su almacén de AWS CloudHSM claves y crear la red que permita una conexión entre su almacén de claves personalizado y su AWS CloudHSM clúster. Para obtener más información, consulte Autorizar la gestión AWS KMS de los AWS CloudHSM recursos de Amazon EC2 .

AWS política gestionada: AWSService RoleForKeyManagementServiceMultiRegionKeys

No puede asociar AWSServiceRoleForKeyManagementServiceMultiRegionKeys a sus entidades IAM. Esta política está asociada a un rol vinculado a un servicio que permite AWS KMS sincronizar cualquier cambio en el material clave de una clave principal multirregional con sus claves de réplica. Para obtener más información, consulte Autoriza la sincronización de claves AWS KMS multirregionales.

AWS KMS actualizaciones de las políticas gestionadas AWS

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS KMS desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de AWS KMS Historial de documentos.

Cambio	Descripción	Fecha
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy: actualización de una política actual	AWS KMS se agregó un campo de ID de declaración (`Sid`) a la política administrada en la versión v2 de la política.	21 de noviembre de 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy: actualización de una política actual	AWS KMS agregó los `ec2:DescribeNetworkInterfaces` permisos `ec2:DescribeVpcsec2:DescribeNetworkAcls`, y para monitorear los cambios en la VPC que contiene el AWS CloudHSM clúster, de modo que AWS KMS puedan proporcionar mensajes de error claros en caso de fallas.	10 de noviembre de 2023
AWS KMS comenzó a rastrear los cambios	AWS KMS comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.	10 de noviembre de 2023

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity and Access Management

Roles vinculados a servicios