Especificar KMS las claves en las declaraciones IAM de políticas

Puede usar una IAM política para permitir que un director use o administre KMS las claves. KMSlas claves se especifican en el Resource elemento de la declaración de política.

Para especificar una KMS clave en una declaración de IAM política, debe usar su clave ARN. No puede utilizar un identificador de clave, un nombre de alias o un alias ARN para identificar una KMS clave en una declaración IAM de política.

Por ejemplo: "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"

Para controlar el acceso a una KMS clave en función de sus alias, utilice las claves ResourceAliasescondicionales kms: RequestAlias o kms:. Para obtener más información, consulte ABAC para AWS KMS.

Utilice un alias ARN como recurso únicamente en una declaración de política que controle el acceso a las operaciones de alias, como CreateAlias UpdateAlias, o DeleteAlias. Para obtener más información, consulte Control del acceso a alias.
Para especificar varias KMS claves en la cuenta y la región, utilice caracteres comodín (*) en las posiciones de región o ID de recurso de la claveARN.

Por ejemplo, para especificar todas KMS las claves de la región EE.UU. Oeste (Oregón) de una cuenta, utilice "Resource": "arn:aws:kms:us-west-2:111122223333:key/*». Para especificar todas KMS las claves de todas las regiones de la cuenta, utilice "Resource": "arn:aws:kms:*:111122223333:key/*».
Para representar todas KMS las claves, utilice solo un carácter comodín ("*"). Utilice este formato para las operaciones que no utilicen ninguna KMS clave en particular, como CreateKey GenerateRandom ListAliases, y ListKeys.

Al redactar las declaraciones de política, se recomienda especificar solo KMS las claves que el director debe usar, en lugar de darle acceso a todas KMS las claves.

Por ejemplo, la siguiente declaración de IAM política permite al director ejecutar las operaciones DescribeKey, GenerateDataKey, Decrypt únicamente con las KMS claves incluidas en el Resource elemento de la declaración de política. Si se especifican KMS las claves por claveARN, lo cual es una práctica recomendada, se garantiza que los permisos se limiten únicamente a las KMS claves especificadas.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
    ]
  }
}

Para aplicar el permiso a todas KMS las claves de un centro de confianza concreto Cuenta de AWS, puede utilizar caracteres comodín (*) en las posiciones de región e ID de clave. Por ejemplo, la siguiente declaración de política permite al director realizar las operaciones especificadas en todas KMS las claves de dos cuentas de ejemplo confiables.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair"
    ],
    "Resource": [
      "arn:aws:kms:*:111122223333:key/*",
      "arn:aws:kms:*:444455556666:key/*"
    ]
  }
}

También puede utilizar un carácter comodín ("*") solo en el elemento Resource. Como permite el acceso a todas KMS las claves que la cuenta tiene permiso de uso, se recomienda principalmente para las operaciones sin una KMS clave concreta y para los Deny estados de cuenta. También puede utilizarlo en declaraciones de política que solo permiten operaciones de solo lectura menos sensibles. Para determinar si una AWS KMS operación implica una KMS clave concreta, busque el valor de la KMSclave en la columna Recursos de la tabla deAWS KMS permisos.

Por ejemplo, la siguiente declaración de política utiliza un Deny efecto para prohibir a los principales utilizar las operaciones especificadas en cualquier KMS clave. Utiliza un carácter comodín en el Resource elemento para representar todas las KMS claves.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": [
      "kms:CreateKey",
      "kms:PutKeyPolicy",
      "kms:CreateGrant",
      "kms:ScheduleKeyDeletion"
    ],
    "Resource": "*"
  }
}

La siguiente declaración de política utiliza solo un carácter comodín para representar todas las KMS claves. Sin embargo, solo permite operaciones de solo lectura menos sensibles y operaciones que no se aplican a ninguna clave en particular. KMS


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:CreateKey",
      "kms:ListKeys",
      "kms:ListAliases",
      "kms:ListResourceTags"
    ],
    "Resource": "*"
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas para IAM las políticas

Ejemplos