Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Política de claves predeterminada
Al crear una KMS clave, puede especificar la política de clave para la nueva KMS clave. Si no proporciona una, AWS KMS crea una para usted. La política de claves predeterminada que se AWS KMS utiliza varía en función de si se crea la clave en la AWS KMS consola o se utiliza la AWS KMS API.
- Política de claves predeterminada al crear una KMS clave mediante programación
-
Al crear una KMS clave mediante programación con AWS KMS API(incluso mediante el AWS SDKs
uso de AWS Command Line Interfaceo Herramientas de AWS para PowerShell) y no se especifica una política de claves, AWS KMS se aplica una política de claves predeterminada muy simple. Esta política de claves predeterminada tiene una declaración de política que otorga al propietario de la KMS clave permiso para usar IAM políticas Cuenta de AWS que permitan el acceso a todas AWS KMS las operaciones de la KMS clave. Para obtener más información sobre esta declaración de política, consulte Permite el acceso a las IAM políticas Cuenta de AWS y las habilita. - Política de claves predeterminada al crear una KMS clave con AWS Management Console
-
Al crear una KMS clave con el AWS Management Console, la política clave comienza con la declaración de política que permite el acceso a la Cuenta de AWS y habilita IAM las políticas. A continuación, la consola añade una declaración clave del administrador, una declaración de los usuarios clave y (en la mayoría de los tipos de claves) una declaración que permite a los directores utilizar la KMS clave con otros AWS servicios. Puede utilizar las funciones de la AWS KMS consola para especificar los IAM usuarios y Cuentas de AWS quiénes son los administradores clave y los usuarios clave (o ambos). IAMroles
Permisos
Permite el acceso a las IAM políticas Cuenta de AWS y las habilita
La siguiente declaración de política de claves predeterminada es fundamental.
-
Le da al Cuenta de AWS propietario de la KMS clave acceso completo a la KMS clave.
A diferencia de otras políticas de AWS recursos, una política AWS KMS clave no otorga automáticamente permisos a la cuenta ni a ninguna de sus identidades. Para conceder permisos a los administradores de cuentas, la política de claves debe incluir una declaración explícita que proporcione este permiso, de forma similar a ésta.
-
Permite que la cuenta utilice IAM políticas para permitir el acceso a la KMS clave, además de la política clave.
Sin este permiso, IAM las políticas que permiten el acceso a la clave no son efectivas, aunque IAM las políticas que deniegan el acceso a la clave siguen siendo efectivas.
-
Reduce el riesgo de que la clave deje de poder administrarse dando permiso de control de acceso a los administradores de la cuenta, incluido el usuario raíz de la cuenta, que no se puede eliminar.
La siguiente declaración de política clave es toda la política de claves predeterminada para KMS las claves creadas mediante programación. Es la primera declaración de política de la política de claves predeterminada para KMS las claves creadas en la AWS KMS consola.
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }
- Permite que IAM las políticas permitan el acceso a la KMS clave.
-
La declaración de política clave Cuenta de AWS que se muestra arriba otorga al propietario de la clave permiso para usar IAM las políticas, así como las políticas clave, para permitir todas las acciones (
kms:*) relacionadas con la KMS clave.El principal de esta declaración de política clave es el principal de la cuenta, que está representado por un ARN en este formato:
arn:aws:iam::. El principal de la cuenta representa a la AWS cuenta y a sus administradores.account-id:rootCuando el principal de una declaración de política clave es el principal de la cuenta, la declaración de política no otorga ningún permiso al IAM principal para usar la KMS clave. En su lugar, permite que la cuenta utilice IAM políticas para delegar los permisos especificados en la declaración de política. Esta declaración de política clave predeterminada permite a la cuenta usar IAM políticas para delegar permisos para todas las acciones (
kms:*) de la KMS clave. - Reduce el riesgo de que la KMS clave se vuelva inmanejable.
-
A diferencia de otras políticas de AWS recursos, una política AWS KMS clave no otorga automáticamente permisos a la cuenta ni a ninguno de sus directores. Para dar permisos a cualquier entidad principal, incluida la entidad principal de la cuenta, debe utilizar una declaración de política de claves que proporcione los permisos de forma explícita. No está obligado a dar acceso a la KMS clave al director de la cuenta, ni a ningún otro director. Sin embargo, dar acceso a la entidad principal de la cuenta le ayuda a evitar que la clave deje de poder administrarse.
Por ejemplo, supongamos que crea una política de claves que solo da acceso a la KMS clave a un usuario. Si, a continuación, elimina ese usuario, la clave se vuelve inadministrable y debe ponerse en contacto con AWS Support
para recuperar el acceso a la KMS clave. La declaración de política clave que se muestra arriba permite controlar la clave del principal de la cuenta, que representa al administrador Cuenta de AWS y a sus administradores, incluido el usuario raíz de la cuenta. El usuario raíz de la cuenta es el único principal que no se puede eliminar a menos que usted elimine el Cuenta de AWS. IAMlas mejores prácticas desaconsejan actuar en nombre del usuario raíz de la cuenta, excepto en caso de emergencia. Sin embargo, es posible que tengas que actuar como usuario raíz de la cuenta si eliminas todos los demás usuarios y roles con acceso a la KMS clave.
Permite a los administradores de claves administrar la KMS clave
La política de claves predeterminada creada por la consola le permite elegir usuarios y funciones de IAM de la cuenta y convertirlos en administradores de claves. Esta declaración se denomina la declaración de los administradores de claves. Los administradores de claves tienen permisos para administrar la KMS clave, pero no tienen permisos para utilizarla KMS en operaciones criptográficas. Puede añadir IAM usuarios y roles a la lista de administradores de claves al crear la KMS clave en la vista predeterminada o en la vista de políticas.
aviso
Como los administradores clave tienen permiso para cambiar la política clave y crear concesiones, pueden concederse a sí mismos y a otras personas AWS KMS permisos no especificados en esta política.
Los directores que tienen permiso para administrar etiquetas y alias también pueden controlar el acceso a una KMS clave. Para obtener más información, consulte ABAC para AWS KMS.
nota
IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.
En el siguiente ejemplo se muestra la declaración de los administradores de claves en la vista predeterminada de la consola de AWS KMS .
A continuación se muestra un ejemplo de declaración de los administradores de claves en la vista de política de la consola de AWS KMS . Esta declaración del administrador de claves es para una clave de cifrado KMS simétrica de una sola región.
nota
La AWS KMS consola agrega administradores de claves a la política de claves bajo el identificador de la declaración. "Allow access for Key Administrators" La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS":"arn:aws:iam::111122223333:role/ExampleAdminRole"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion", "kms:RotateKeyOnDemand" ], "Resource": "*" }
La declaración predeterminada del administrador de claves para la clave más común, una KMS clave de cifrado KMS simétrica de una sola región, permite los siguientes permisos. Para obtener información detallada sobre cada permiso, consulte la AWS KMS permisos.
Cuando usa la AWS KMS consola para crear una KMS clave, la consola agrega los usuarios y roles que especifique al Principal elemento en la declaración del administrador de claves.
Muchos de estos permisos contienen el carácter comodín (*), que permite todos los permisos que empiezan por el verbo especificado. Como resultado, cuando AWS KMS agrega nuevas API operaciones, los administradores de claves pueden usarlas automáticamente. No es necesario actualizar las políticas de claves para incluir las nuevas operaciones. Si prefiere limitar sus administradores de claves a un conjunto fijo de API operaciones, puede cambiar su política de claves.
kms:Create*-
Permite kms:CreateAlias y kms:CreateGrant. (El
kms:CreateKeypermiso solo es válido en una IAM política). kms:Describe*-
Permite kms:DescribeKey. El
kms:DescribeKeypermiso es necesario para ver la página de detalles clave de una KMS clave del AWS Management Console. kms:Enable*-
Permite kms:EnableKey. Para KMS claves de cifrado simétricas, también permite kms:EnableKeyRotation.
kms:List*-
Permite kms:ListGrants,
kms:ListKeyPoliciesy kms:ListResourceTags. (Loskms:ListKeyspermisoskms:ListAliasesy, necesarios para ver KMS las claves en el AWS Management Console, solo son válidos en IAM las políticas). kms:Put*-
Permite
kms:PutKeyPolicy. Este permiso permite a los administradores de claves cambiar la política de claves de esta KMS clave. kms:Update*-
Permite kms:UpdateAlias y
kms:UpdateKeyDescription. En el caso de las claves multirregionales, kms:UpdatePrimaryRegionadmite esta KMS clave. kms:Revoke*-
Permite kms:RevokeGrant, que permite a los administradores de claves eliminar una concesión incluso si no son una entidad principal retirada en la concesión.
kms:Disable*-
Permite kms:DisableKey. Para KMS claves de cifrado simétricas, también permite. kms:DisableKeyRotation
kms:Get*-
Permite kms:GetKeyPolicy y kms:GetKeyRotationStatus. Para KMS claves con material clave importado, permite
kms:GetParametersForImport. Para KMS claves asimétricas, permitekms:GetPublicKey. Elkms:GetKeyPolicypermiso es necesario para ver la política clave de una KMS clave en. AWS Management Console kms:Delete*-
Permite kms:DeleteAlias. Para claves con material de claves importado, permite kms:DeleteImportedKeyMaterial. El
kms:Delete*permiso no permite a los administradores de claves eliminar la KMS clave (ScheduleKeyDeletion). kms:TagResource-
Permite kms:TagResource, lo que permite a los administradores de claves añadir etiquetas a la KMS clave. Como las etiquetas también se pueden usar para controlar el acceso a la KMS clave, este permiso permite a los administradores permitir o denegar el acceso a la KMS clave. Para obtener más información, consulte ABAC para AWS KMS.
kms:UntagResource-
Permite kms:UntagResource, lo que permite a los administradores de claves eliminar las etiquetas de la KMS clave. Como las etiquetas se pueden usar para controlar el acceso a la clave, este permiso permite a los administradores permitir o denegar el acceso a la KMS clave. Para obtener más información, consulte ABAC para AWS KMS.
kms:ScheduleKeyDeletion-
Permite
kms:ScheduleKeyDeletion, lo que permite a los administradores de claves eliminar esta KMS clave. Para eliminar este permiso, desactive la opción Allow key administrators to delete this key (Permitir a los administradores de claves eliminar esta clave). kms:CancelKeyDeletion-
Permite
kms:CancelKeyDeletion, lo que permite a los administradores de claves cancelar la eliminación de esta KMS clave. Para eliminar este permiso, desactive la opción Allow key administrators to delete this key (Permitir a los administradores de claves eliminar esta clave). kms:RotateKeyOnDemand-
Permite
kms:RotateKeyOnDemand, lo que permite a los administradores de claves realizar la rotación bajo demanda del material clave de esta KMS clave.
AWS KMS añade los siguientes permisos a la declaración predeterminada del administrador de claves al crear claves de uso especial.
kms:ImportKeyMaterial-
El
kms:ImportKeyMaterialpermiso permite a los administradores de claves importar material clave a la KMS clave. Este permiso se incluye en la política de claves solo cuando se crea una KMS clave sin material clave. kms:ReplicateKey-
El
kms:ReplicateKeypermiso permite a los administradores de claves crear una réplica de una clave principal multirregional en otra AWS región. Este permiso solo se incluye en la política de claves cuando crea una clave principal o de réplica de varias regiones. kms:UpdatePrimaryRegion-
El permiso
kms:UpdatePrimaryRegionpermite a los administradores de claves cambiar una clave de réplica de varias regiones a una clave principal de varias regiones. Este permiso solo se incluye en la política de claves cuando crea una clave principal o de réplica de varias regiones.
Permite a los usuarios clave utilizar la KMS clave
La política de claves predeterminada que la consola crea para KMS las claves le permite elegir IAM usuarios y IAM roles en la cuenta y externos Cuentas de AWS, y convertirlos en usuarios clave.
La consola agrega dos declaraciones de política a la política de claves para los usuarios de claves.
-
Usa la KMS clave directamente: la primera declaración de política clave otorga a los usuarios clave permiso para usar la KMS clave directamente en todas las operaciones criptográficas compatibles con ese tipo de KMS clave.
-
Use la KMS clave con AWS los servicios: la segunda declaración de política otorga a los usuarios clave permiso para permitir que los AWS servicios con AWS KMS los que están integrados usen la KMS clave en su nombre para proteger los recursos, como los buckets de Amazon S3 y las tablas de Amazon DynamoDB.
Al crear la clave, puede añadir IAM usuarios, IAM roles y otros elementos Cuentas de AWS a la lista de usuarios clave. KMS También puede editar la lista con la vista predeterminada de la consola para las políticas de claves, tal como se muestra en la siguiente imagen. La vista predeterminada de las políticas de claves está disponible en la página de detalles de clave. Para obtener más información sobre cómo permitir que los usuarios Cuentas de AWS de otros usuarios usen la KMS clave, consultePermitir a los usuarios de otras cuentas utilizar una clave KMS.
nota
IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.
Las declaraciones de usuarios de claves predeterminadas para una clave simétrica de región única permite los siguientes permisos. Para obtener información detallada sobre cada permiso, consulte la AWS KMS permisos.
Cuando utiliza la AWS KMS consola para crear una KMS clave, la consola agrega los usuarios y roles que especifique al Principal elemento de la declaración de cada usuario clave.
nota
La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración "Allow use of the key" y"Allow
attachment of persistent resources". La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Permite a los usuarios clave utilizar una KMS clave para operaciones criptográficas
Los usuarios clave tienen permiso para usar la KMS clave directamente en todas las operaciones criptográficas compatibles con la KMS clave. También pueden usar la DescribeKeyoperación para obtener información detallada sobre la KMS clave en la AWS KMS consola o mediante las AWS KMS API operaciones.
De forma predeterminada, la AWS KMS consola agrega las declaraciones de los usuarios clave, como las de los ejemplos siguientes, a la política de claves predeterminada. Como admiten distintas API operaciones, las acciones de las declaraciones de política para las claves de cifrado simétrico, KMS las claves, HMAC KMS las claves asimétricas para el cifrado de clave pública y KMS las KMS claves asimétricas para la firma y la verificación son ligeramente diferentes.
- Claves de cifrado simétricas KMS
-
La consola agrega la siguiente declaración a la política de claves para las claves de cifrado KMS simétrico.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" } - HMACKMSclaves
-
La consola añade la siguiente declaración a la política de HMAC KMS claves para las claves.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GenerateMac", "kms:VerifyMac" ], "Resource": "*" } - KMSClaves asimétricas para el cifrado de claves públicas
-
La consola añade la siguiente declaración a la política de claves para las claves asimétricas con el uso de KMS claves de cifrado y descifrado.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" } - KMSClaves asimétricas para la firma y la verificación
-
La consola añade la siguiente declaración a la política de claves para KMS las claves asimétricas con el uso de la clave «Firmar y verificar».
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" } - KMSClaves asimétricas para obtener secretos compartidos
-
La consola añade la siguiente declaración a la política de claves asimétricas con un uso clave del acuerdo de KMS claves.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:DeriveSharedSecret" ], "Resource": "*" }
Las acciones de estas declaraciones proporcionan a los usuarios de clave los siguientes permisos.
kms:Encrypt-
Permite a los usuarios clave cifrar los datos con esta KMS clave.
kms:Decrypt-
Permite a los usuarios clave descifrar los datos con esta KMS clave.
kms:DeriveSharedSecret-
Permite a los usuarios clave obtener secretos compartidos con esta KMS clave.
kms:DescribeKey-
Permite a los usuarios clave obtener información detallada sobre esta KMS clave, incluidos sus identificadores, fecha de creación y estado de la clave. También permite a los usuarios clave mostrar detalles sobre la KMS clave en la AWS KMS consola.
kms:GenerateDataKey*-
Permite a los usuarios de claves solicitar una clave de datos simétrica o un par de claves de datos asimétricos para operaciones criptográficas del cliente. La consola utiliza el carácter comodín * para representar el permiso para las siguientes API operaciones: GenerateDataKey, GenerateDataKeyWithoutPlaintextGenerateDataKeyPair, y GenerateDataKeyPairWithoutPlaintext. Estos permisos solo son válidos en las claves simétricas que cifran KMS las claves de datos.
- km: GenerateMac
-
Permite a los usuarios clave utilizar una HMAC KMS clave para generar una HMAC etiqueta.
- km: GetPublicKey
-
Permite a los usuarios clave descargar la clave pública de la KMS clave asimétrica. Las partes con las que compartes esta clave pública pueden cifrar los datos fuera de ella. AWS KMS Sin embargo, esos textos cifrados solo se pueden descifrar llamando a la operación Descifrar en AWS KMS.
- km: * ReEncrypt
-
Permite a los usuarios clave volver a cifrar los datos que se cifraron originalmente con esta KMS clave o utilizarla para volver a cifrar datos previamente cifrados. KMS La ReEncryptoperación requiere el acceso a las claves de origen y destino. KMS Para ello, puede conceder el
kms:ReEncryptFrompermiso a la KMS clave de origen y elkms:ReEncryptTopermiso a la KMS clave de destino. Sin embargo, para simplificar, la consola admite ambas KMS teclaskms:ReEncrypt*(con el carácter*comodín). - kms:Sign
-
Permite a los usuarios clave firmar mensajes con esta KMS clave.
- kms:Verify
-
Permite a los usuarios clave verificar las firmas con esta KMS clave.
- kms: VerifyMac
-
Permite a los usuarios clave utilizar una HMAC KMS clave para verificar una HMAC etiqueta.
Permite a los usuarios clave utilizar la KMS clave con AWS los servicios
La política de claves predeterminada de la consola también ofrece a los usuarios clave los permisos de concesión que necesitan para proteger sus datos en AWS los servicios que utilizan subvenciones. AWS los servicios suelen utilizar las subvenciones para obtener un permiso específico y limitado para utilizar una KMS clave.
Esta declaración de política clave permite al usuario clave crear, ver y revocar las concesiones de la KMS clave, pero solo cuando la solicitud de operación de concesión proviene de un AWS servicio integrado
Los usuarios clave requieren estos permisos de concesión para usar su KMS clave con los servicios integrados, pero estos permisos no son suficientes. Los usuarios de claves también necesitan permiso para utilizar los servicios integrados. Para obtener más información sobre cómo dar a los usuarios acceso a un AWS servicio que se integra con él AWS KMS, consulte la documentación del servicio integrado.
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Por ejemplo, los usuarios clave pueden usar estos permisos en la KMS clave de las siguientes maneras.
-
Usa esta KMS clave con Amazon Elastic Block Store (AmazonEBS) y Amazon Elastic Compute Cloud (AmazonEC2) para adjuntar un EBS volumen cifrado a una EC2 instancia. El usuario de la clave da EC2 permiso implícito a Amazon para usar la KMS clave para adjuntar el volumen cifrado a la instancia. Para obtener más información, consulte Cómo usa Amazon Elastic Block Store (AmazonEBS) AWS KMS.
-
Utilice esta KMS clave con Amazon Redshift para lanzar un clúster cifrado. El usuario de la clave otorga implícitamente permiso a Amazon Redshift para usar KMS la clave para lanzar el clúster cifrado y crear instantáneas cifradas. Para obtener más información, consulte Cómo utiliza Amazon Redshift AWS KMS.
-
Use esta KMS clave con otros AWS servicios integrados AWS KMS que utilicen subvenciones para crear, administrar o usar recursos cifrados con esos servicios.
La política de claves predeterminada permite a los usuarios de claves delegar su permiso de concesión a todos los servicios integrados que utilizan concesiones. Sin embargo, puede crear una política de claves personalizada que restrinja el permiso a AWS servicios específicos. Para obtener más información, consulte la clave de condición kms: ViaService.
