Especificación de claves KMS en declaraciones de políticas de IAM

Puede utilizar una política de IAM para permitir que una entidad principal utilice o administre claves KMS. Las claves KMS se especifican en el elemento Resource de la declaración de política.

Para especificar una clave KMS en una declaración de política de IAM, debe utilizar su ARN de clave. No puede utilizar un ID de clave, un nombre de alias ni un ARN de alias para identificar una clave KMS en una declaración de política de IAM.

Por ejemplo: "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"

Para controlar el acceso a una clave de KMS en función de sus alias, utilice las claves de condición kms: RequestAlias o kms:. ResourceAliases Para obtener más detalles, consulte ABAC para AWS KMS.

Utilice un ARN de alias como recurso solo en una declaración de política que controle el acceso a las operaciones de alias, como CreateAlias UpdateAlias, o. DeleteAlias Para obtener más detalles, consulte Control del acceso a alias.
Para especificar varias claves KMS en la cuenta y la región, utilice caracteres de comodín (*) en las posiciones de ID de región o recurso del ARN de clave.

Por ejemplo, para especificar todas las claves KMS de la región EE. UU. Oeste (Oregón) de una cuenta, utilice “Resource": "arn:aws:kms:us-west-2:111122223333:key/*”. Para especificar todas las claves KMS en todas las regiones de la cuenta, utilice “Resource": "arn:aws:kms:*:111122223333:key/*”.
Para representar todas las claves KMS, utilice un carácter de comodín solo ("*"). Utilice este formato para las operaciones que no utilicen ninguna clave de KMS concreta, es decir CreateKey, GenerateRandom ListAliases, y ListKeys.

Al escribir sus declaraciones de política, se trata de una práctica recomendada para especificar solo las claves KMS que la entidad principal necesita usar, en lugar de darles acceso a todas las claves KMS.

Por ejemplo, la siguiente declaración de política de IAM permite al director llamar a las operaciones DescribeKey, GenerateDataKey, Decrypt únicamente con las claves de KMS que figuran en el Resource elemento de la declaración de política. La especificación de claves KMS por ARN clave, que es una práctica recomendada, garantiza que los permisos estén limitados únicamente a las claves KMS especificadas.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
    ]
  }
}

Para aplicar el permiso a todas las claves de KMS de una entidad de confianza concreta Cuenta de AWS, puede utilizar caracteres comodín (*) en las posiciones de la región y de los ID de las claves. Por ejemplo, la siguiente declaración de política permite a la entidad principal llamar a las operaciones especificadas en cualquier clave KMS de las dos cuenta de ejemplo de confianza.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair"
    ],
    "Resource": [
      "arn:aws:kms:*:111122223333:key/*",
      "arn:aws:kms:*:444455556666:key/*"
    ]
  }
}

También puede utilizar un carácter comodín ("*") solo en el elemento Resource. Debido a que permite el acceso a todas las claves KMS que la cuenta tiene permiso para usar, se recomienda principalmente para operaciones sin una clave KMS concreta y declaraciones Deny. También puede utilizarlo en declaraciones de política que solo permiten operaciones de solo lectura menos sensibles. Para determinar si una AWS KMS operación implica una clave de KMS determinada, busque el valor de la clave de KMS en la columna Recursos de la tabla de. AWS KMS permisos

Por ejemplo, la siguiente declaración de política utiliza un efecto Deny para prohibir que las principales entidades utilicen las operaciones especificadas en cualquier clave KMS. Utiliza un carácter comodín en el elemento Resource para representar todas las claves KMS.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": [
      "kms:CreateKey",
      "kms:PutKeyPolicy",
      "kms:CreateGrant",
      "kms:ScheduleKeyDeletion"
    ],
    "Resource": "*"
  }
}

La siguiente declaración de política utiliza un carácter comodín solo para representar todas las claves KMS. Pero solo permite operaciones de solo lectura menos sensibles y operaciones que no se aplican a ninguna clave KMS en particular.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:CreateKey",
      "kms:ListKeys",
      "kms:ListAliases",
      "kms:ListResourceTags"
    ],
    "Resource": "*"
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas para las políticas de IAM

Permisos necesarios para usar la AWS KMS consola