Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Control del acceso a la eliminación de claves

PDF
RSS
Modo de enfoque
Control del acceso a la eliminación de claves - AWS Key Management Service
Permitir a los administradores de claves programar y cancelar la eliminación de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Si utiliza políticas de IAM para conceder AWS KMS permisos, las identidades de IAM que tienen acceso de AWS administrador ("Action": "*") o acceso AWS KMS total ("Action": "kms:*") ya pueden programar y cancelar la eliminación clave de las claves de KMS. Para permitir que los administradores de claves programen y cancelen la eliminación de claves en la política de claves, utilice la AWS KMS consola o la AWS KMS API.

Normalmente, solo los administradores de claves tienen permiso para programar o cancelar la eliminación de claves. Sin embargo, puede conceder estos permisos a otras identidades de IAM al agregar los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion a la política de claves o a una política de IAM. También puedes usar la clave de kms:ScheduleKeyDeletionPendingWindowInDayscondición para restringir aún más los valores que los directores pueden especificar en el PendingWindowInDays parámetro de una ScheduleKeyDeletionsolicitud.

Permitir a los administradores de claves programar y cancelar la eliminación de claves

Para otorgar permiso a los administradores de claves para programar y cancelar la eliminación de claves

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de la clave KMS cuyos permisos desea cambiar.

  5. Seleccione la pestaña key policy (política de claves).

  6. El siguiente paso es diferente para la vista predeterminada y la vista de política de su política de claves. La vista predeterminada solo está disponible si utiliza la política de claves de consola predeterminada. De lo contrario, solo está disponible la vista de política.

    Cuando la vista predeterminada está disponible, aparece el botón Switch to policy view (Cambiar a la vista de política) o Switch to default view (Cambiar a la vista predeterminada) en la pestaña Key policy (Política de claves).

    • En la vista predeterminada:

      1. En la sección Key deletion (Eliminación de la clave), seleccione Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    • En la vista de la política:

      1. Elija Editar.

      2. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion al elemento Action.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Elija Guardar cambios.

Para otorgar permiso a los administradores de claves para programar y cancelar la eliminación de claves

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de la clave KMS cuyos permisos desea cambiar.

  5. Seleccione la pestaña key policy (política de claves).

  6. El siguiente paso es diferente para la vista predeterminada y la vista de política de su política de claves. La vista predeterminada solo está disponible si utiliza la política de claves de consola predeterminada. De lo contrario, solo está disponible la vista de política.

    Cuando la vista predeterminada está disponible, aparece el botón Switch to policy view (Cambiar a la vista de política) o Switch to default view (Cambiar a la vista predeterminada) en la pestaña Key policy (Política de claves).

    • En la vista predeterminada:

      1. En la sección Key deletion (Eliminación de la clave), seleccione Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    • En la vista de la política:

      1. Elija Editar.

      2. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion al elemento Action.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Elija Guardar cambios.

Puede utilizar el AWS Command Line Interface para añadir permisos para programar y cancelar la eliminación de claves.

Para agregar permiso para programar y cancelar la eliminación de claves

  1. Utilice el comando aws kms get-key-policy para recuperar la política de claves existente y, a continuación, guarde el documento de políticas en un archivo.

  2. Abra el documento de políticas en el editor de textos que prefiera. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion. El siguiente ejemplo muestra una declaración de política con estos dos permisos:

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Utilice el comando aws kms put-key-policy para aplicar la política de claves a la clave KMS.

Puede utilizar el AWS Command Line Interface para añadir permisos para programar y cancelar la eliminación de claves.

Para agregar permiso para programar y cancelar la eliminación de claves

  1. Utilice el comando aws kms get-key-policy para recuperar la política de claves existente y, a continuación, guarde el documento de políticas en un archivo.

  2. Abra el documento de políticas en el editor de textos que prefiera. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion. El siguiente ejemplo muestra una declaración de política con estos dos permisos:

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Utilice el comando aws kms put-key-policy para aplicar la política de claves a la clave KMS.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.