Controle el acceso a la eliminación de claves - AWS Key Management Service
Permita a los administradores de claves programar y cancelar la eliminación de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controle el acceso a la eliminación de claves

Si utiliza IAM políticas para permitir AWS KMS permisos, IAM las identidades que tienen acceso de AWS administrador ("Action": "*") o acceso AWS KMS total ("Action": "kms:*") ya pueden programar y cancelar la eliminación de KMS claves. Para permitir que los administradores de claves programen y cancelen la eliminación de claves en la política de claves, utilice la AWS KMS consola o el AWS KMS API.

Normalmente, solo los administradores de claves tienen permiso para programar o cancelar la eliminación de claves. Sin embargo, puede conceder estos permisos a otras IAM identidades añadiendo el kms:CancelKeyDeletion permiso kms:ScheduleKeyDeletion and a la política clave o a una IAM política. También puedes usar la clave de kms:ScheduleKeyDeletionPendingWindowInDayscondición para restringir aún más los valores que los principales pueden especificar en el PendingWindowInDays parámetro de una ScheduleKeyDeletionsolicitud.

Permita a los administradores de claves programar y cancelar la eliminación de claves

Para otorgar permiso a los administradores de claves para programar y cancelar la eliminación de claves

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el identificador de clave de la KMS clave cuyos permisos desee cambiar.

  5. Seleccione la pestaña key policy (política de claves).

  6. El siguiente paso es diferente para la vista predeterminada y la vista de política de su política de claves. La vista predeterminada solo está disponible si utiliza la política de claves de consola predeterminada. De lo contrario, solo está disponible la vista de política.

    Cuando la vista predeterminada está disponible, aparece el botón Switch to policy view (Cambiar a la vista de política) o Switch to default view (Cambiar a la vista predeterminada) en la pestaña Key policy (Política de claves).

    • En la vista predeterminada:

      1. En la sección Key deletion (Eliminación de la clave), seleccione Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave).

    • En la vista de la política:

      1. Elija Editar.

      2. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion al elemento Action.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Elija Guardar cambios.

Puede utilizar el AWS Command Line Interface para añadir permisos para programar y cancelar la eliminación de claves.

Para agregar permiso para programar y cancelar la eliminación de claves

  1. Utilice el comando aws kms get-key-policy para recuperar la política de claves existente y, a continuación, guarde el documento de políticas en un archivo.

  2. Abra el documento de políticas en el editor de textos que prefiera. En la declaración de política para los administradores de claves, agregue los permisos kms:ScheduleKeyDeletion y kms:CancelKeyDeletion. El siguiente ejemplo muestra una declaración de política con estos dos permisos:

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Utilice el aws kms put-key-policycomando para aplicar la política de claves a la KMS clave.