Políticas clave en AWS KMS

Una política clave es una política de recursos para un. AWS KMS key Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Cada clave KMS debe tener exactamente una política de clave. Las declaraciones de políticas de claves determinan quién tiene permiso para usar la clave KMS y cómo debe usar dicho permiso. También puede utilizar políticas de IAM y concesiones para controlar el acceso a la clave KMS, pero cada clave KMS debe tener un documento de política de claves.

Ningún responsable AWS , ni siquiera el usuario raíz de la cuenta o el creador de la clave, tiene permisos para acceder a una clave de KMS a menos que se autorice de forma explícita, y nunca se deniegue, en una política de claves, una política de IAM o una concesión.

A menos que la política de claves lo permita explícitamente, no puede utilizar las políticas de IAM para permitir el acceso a una clave KMS. Sin el permiso de la política de claves, las políticas de IAM que conceden permisos no tienen ningún efecto. (Puede utilizar una política de IAM para denegar un permiso a una clave KMS sin el permiso de una política de claves). La política de claves predeterminada habilita las políticas de IAM. Para habilitar las políticas de IAM en la política de claves, agregue la declaración de política descrita en Permite el acceso a la Cuenta de AWS y habilita las políticas de IAM.

A diferencia de las políticas de IAM, que son globales, las políticas de claves son regionales. Una política de claves controla el acceso solo a una clave KMS en la misma región. No tiene ningún efecto sobre las claves KMS de otras regiones.