Control del acceso a la eliminación de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a la eliminación de claves

Si utiliza las políticas de IAM para conceder los permisos de AWS KMS, las identidades que tengan acceso de administrador de AWS ("Action": "*") o acceso completo de AWS KMS ("Action": "kms:*") ya tienen permiso para programar y cancelar la eliminación de claves KMS. Para permitir que los administradores de claves programen y cancelen la eliminación de claves en la política de claves, utilice la consola de AWS KMS o la API de AWS KMS.

Normalmente, solo los administradores de claves tienen permiso para programar o cancelar la eliminación de claves. Sin embargo, puede conceder estos permisos a otras identidades de IAM al agregar los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion a la política de claves o a una política de IAM. También puede usar la clave de condición kms:ScheduleKeyDeletionPendingWindowInDays para limitar los valores que las entidades principales pueden especificar en el parámetro PendingWindowInDays de una solicitud ScheduleKeyDeletion.

Permitir a los administradores de claves programar y cancelar la eliminación de claves

Para otorgar permiso a los administradores de claves para programar y cancelar la eliminación de claves

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de la clave KMS cuyos permisos desea cambiar.

  5. Seleccione la pestaña key policy (política de claves).

  6. El siguiente paso es diferente para la vista predeterminada y la vista de política de su política de claves. La vista predeterminada solo está disponible si utiliza la política de claves de consola predeterminada. De lo contrario, solo está disponible la vista de política.

    Cuando la vista predeterminada está disponible, aparece el botón Switch to policy view (Cambiar a la vista de política) o Switch to default view (Cambiar a la vista predeterminada) en la pestaña Key policy (Política de claves).

    • En la vista predeterminada:

      1. En la sección Key deletion (Eliminación de la clave), seleccione Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    • En la vista de la política:

      1. Elija Editar.

      2. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion al elemento Action.

        { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
      3. Elija Guardar cambios.

Puede utilizar la AWS Command Line Interface para agregar permisos para programar y cancelar la eliminación de claves.

Para agregar permiso para programar y cancelar la eliminación de claves
  1. Utilice el comando aws kms get-key-policy para recuperar la política de claves existente y, a continuación, guarde el documento de políticas en un archivo.

  2. Abra el documento de políticas en el editor de textos que prefiera. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion. El siguiente ejemplo muestra una declaración de política con estos dos permisos:

    { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
  3. Utilice el comando aws kms put-key-policy para aplicar la política de claves a la clave KMS.