Examen de las políticas de IAM - AWS Key Management Service
Examen de las políticas de IAM con el simulador de políticas de IAMExamen de políticas de IAM con la API de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Examen de las políticas de IAM

Además de la política de claves y concesiones, también puede utilizar políticas de IAM para permitir el acceso a una clave KMS. Para obtener más información sobre cómo funcionan las políticas de IAM y las políticas de claves de forma conjunta, consulte Solución de problemas de permisos de AWS KMS.

Para determinar qué entidades principales tienen acceso a una clave KMS a través de las políticas de IAM, puede utilizar la herramienta del simulador de políticas de IAM o puede realizar solicitudes a la API de IAM.

Examen de las políticas de IAM con el simulador de políticas de IAM

El simulador de políticas de IAM puede ayudarle a saber qué entidades principales tienen acceso a una clave KMS mediante una política de IAM.

Para utilizar el simulador de políticas de IAM para determinar el acceso a una clave KMS

  1. Inicie sesión en la AWS Management Console y abra el simulador de políticas de IAM en https://policysim.aws.amazon.com/.

  2. En el panel Users, Groups, and Roles, elija el usuario, grupo o rol cuyas políticas desee simular.

  3. (Opcional) Desactive la casilla de verificación situada junto a la política que desee omitir en la simulación. Para simular todas las políticas, deje todas las políticas seleccionadas.

  4. En el panel Policy Simulator, haga lo siguiente:

    1. En Select service, elija Key Management Service.

    2. Para simular acciones de AWS KMS específicas, en Select actions, elija las acciones que desea simular. Para simular todas las acciones de AWS KMS, elija Select All (Seleccionar todo).

  5. (Opcional) El simulador de políticas simula el acceso a todas las claves KMS de forma predeterminada. Para simular el acceso a una clave KMS específica, elija Simulation Settings (Configuraciones de simulación) y, a continuación, escriba el nombre de recurso de Amazon (ARN) de la clave KMS que se simulará.

  6. Elija Run Simulation (Ejecutar la simulación).

Puede ver los resultados de la simulación en la sección Results. Repita los pasos del 2 al 6 por cada usuario, grupo y rol de la Cuenta de AWS.

Examen de políticas de IAM con la API de IAM

Puede utilizar la API de IAM para examinar políticas de IAM mediante programación. En los pasos siguientes se ofrece información general sobre cómo hacerlo:

  1. Por cada Cuenta de AWS enumerada como entidad principal en la política de claves (es decir, cada entidad principal de la cuenta de AWS especificada con este formato: "Principal": {"AWS": "arn:aws:iam::111122223333:root"}), utilice las operaciones ListUsers y ListRoles de la API de IAM para recuperar a todos los usuarios y roles de la cuenta.

  2. Para cada usuario y rol de la lista, use la operación SimulatePrincipalPolicy de la API de IAM pasando los siguientes parámetros:

    • Para PolicySourceArn, especifique el nombre de recurso de Amazon (ARN) de un usuario o rol de la lista. Puede especificar solo un PolicySourceArn para cada solicitud SimulatePrincipalPolicy, de modo que debe llamar a esta operación varias veces, una vez por cada usuario y rol de la lista.

    • Para la lista ActionNames, especifique cada acción de API de AWS KMS que se simulará. Para simular todas las acciones de la API de AWS KMS utilice kms:*. Para probar las acciones de la API de AWS KMS individuales, anteponga a cada acción de la API “kms:”, por ejemplo, “kms:ListKeys”. Si desea ver una lista completa de las acciones de la API de AWS KMS, consulte Acciones en la Referencia de la API de AWS Key Management Service.

    • (Opcional) Para determinar si los usuarios o roles de tienen acceso a determinadas claves KMS, use el parámetro ResourceArns para especificar una lista de los nombres de recurso de Amazon (ARN) de las claves KMS. Para determinar si los usuarios o roles tienen acceso a cualquier clave KMS, no use el parámetro ResourceArns.

IAM responde a cada solicitud de SimulatePrincipalPolicy con una decisión de evaluación: allowed, explicitDeny o implicitDeny. Por cada respuesta que contenga una decisión de evaluación del tipo allowed, la respuesta incluye el nombre de la operación de API de AWS KMS específica permitida. También incluye el ARN de la clave KMS utilizado en la evaluación, si se ha realizado.