Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Examinar la política de claves
Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Cada clave KMS tiene exactamente una política de claves.
Cuando una política de claves consta de la política de claves predeterminada o la incluye, la política de claves permite a los administradores de IAM de la cuenta utilizar políticas de IAM para controlar el acceso a la clave KMS. Además, si la política de claves da permiso a otra Cuenta de AWS para que utilice la clave KMS, los administradores de IAM de la cuenta externa pueden utilizar políticas de IAM para delegar dichos permisos. Para determinar la lista completa de entidades principales que pueden obtener acceso a la clave KMS, examine las políticas de IAM.
Para ver la política clave de una clave gestionada por el AWS KMS cliente o Clave administrada de AWSde tu cuenta, utiliza la GetKeyPolicyoperación AWS Management Console o la de la AWS KMS API. Para ver la política de claves, debe tener permisos kms:GetKeyPolicy para la clave KMS. Para obtener declaraciones acerca de cómo ver la política de claves para una clave KMS, consulte Visualización de políticas de claves.
Examine el documento de políticas de claves y anote todas las entidades principales especificadas en el elemento Principal de cada declaración de política. En una declaración de política que Allow surta efecto, los usuarios de IAM, las funciones de IAM y Cuentas de AWS el Principal elemento tienen acceso a esta clave de KMS.
nota
No establezca la Entidad principal en un asterisco (*) en ninguna declaración de política de claves que permita permisos a menos que utilice condiciones para limitar la política de claves. Un asterisco indica todas las identidades de cada Cuenta de AWS permiso para usar la clave de KMS, a menos que otra declaración de política lo deniegue explícitamente. Los usuarios de otros Cuentas de AWS pueden usar su clave de KMS siempre que tengan los permisos correspondientes en su propia cuenta.
En los siguientes ejemplos se utilizan las declaraciones de política existentes en la política de claves predeterminada para demostrar cómo hacerlo.
ejemplo Declaración de política 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }
En la declaración de política 1, arn:aws:iam::111122223333:root es un principal de AWS cuenta que hace referencia al Cuenta de AWS 111122223333. (No es el usuario raíz de la cuenta). De forma predeterminada, una declaración de política como esta se incluye en el documento de política clave cuando se crea una nueva clave de KMS con la o se crea una nueva clave de KMS mediante programación AWS Management Console, pero no se proporciona una política clave.
Un documento de política clave con una declaración que permite el acceso a las políticas de IAM de la cuenta Cuenta de AWS permite el acceso a la clave de KMS. Esto significa que los usuarios y las roles de la cuenta podrían tener acceso a la clave KMS aunque no se indiquen explícitamente como entidades principales en el documento de políticas de claves. Asegúrese de examinar todas las políticas de IAM de todas las que Cuentas de AWS figuran como principales para determinar si permiten el acceso a esta clave de KMS.
ejemplo Declaración de política 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
En la declaración de política 2, arn:aws:iam::111122223333:role/KMSKeyAdmins hace referencia a la función de IAM denominada KMSKey Administradores en 111122223333. Cuenta de AWS Los usuarios que están autorizados a asumir este rol pueden realizar las acciones enumeradas en la declaración de política, que son las acciones administrativas para administrar una clave KMS.
ejemplo Declaración de política 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }
En la declaración de política 3, arn:aws:iam::111122223333:role/EncryptionApp hace referencia a la función de IAM nombrada en 111122223333. EncryptionApp Cuenta de AWS Las entidades principales que están autorizadas a asumir este rol tienen permiso para realizar las acciones enumeradas en la declaración de política, que incluyen las operaciones criptográficas para una clave KMS de cifrado simétrico.
ejemplo Declaración de política 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
En la declaración de política 4, arn:aws:iam::111122223333:role/EncryptionApp hace referencia a la función de IAM nombrada en 111122223333. EncryptionApp Cuenta de AWS Las entidades principales que están autorizadas a asumir este rol tienen permiso para realizar las acciones enumeradas en la declaración de política. Estas acciones, cuando se combinan con las acciones permitidas en Ejemplo de declaración de política 3, son las necesarias para delegar el uso de la clave KMS a la mayoría de los servicios de AWS que se integran con AWS KMS, específicamente los servicios que usan concesiones. El GrantIsFor AWSResource valor kms: del Condition elemento garantiza que la delegación solo esté permitida cuando el delegado sea un AWS servicio que se integre con las concesiones de autorización AWS KMS y las utilice.
Para conocer las distintas formas en las que puede especificar una entidad principal en un documento de políticas de claves, consulte Especificación de un elemento principal en la Guía del usuario de IAM.
Para obtener más información sobre las políticas AWS KMS clave, consultePolíticas clave en AWS KMS.
