Cambiar una política de claves - AWS Key Management Service
Cómo cambiar una política de clavesConceder permiso a varias entidades principales de IAM para acceder a una clave KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambiar una política de claves

Puede cambiar la política de claves de una clave de KMS suya Cuenta de AWS mediante la PutKeyPolicyoperación AWS Management Console o. No puede utilizar estas técnicas para cambiar la política de claves de una clave KMS en una cuenta de Cuenta de AWS distinta.

Cuando cambie una política de claves, tenga en cuenta las siguientes reglas:

  • Puede ver la política de claves para una Clave administrada de AWS o una clave administrada por el cliente, pero solo puede cambiar la política de claves para una clave KMS administrada por el cliente. Las políticas de Claves administradas por AWS se crean y administran mediante el servicio de AWS que creó la clave KMS en su cuenta. No puede ver ni modificar la política de claves de una Clave propiedad de AWS.

  • Puede agregar o eliminar usuarios de IAM, roles de IAM y Cuentas de AWS en la política de claves y cambiar las acciones que se permiten o deniegan para dichas entidades principales. Para obtener más información sobre las formas de especificar entidades principales y permisos en una política de claves, consulte Políticas de claves.

  • No puede agregar grupos de IAM a una política de claves, aunque puede agregar varios usuarios de IAM y roles de IAM. Para obtener más información, consulte Conceder permiso a varias entidades principales de IAM para acceder a una clave KMS.

  • Si agrega Cuentas de AWS externas a una política de claves, también debe usar las políticas de IAM en las cuentas externas para conceder permisos a los usuarios, los grupos o los roles de IAM en dichas cuentas. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  • El documento de política de claves resultante no puede superar los 32 KB (32 768 bytes).

Cómo cambiar una política de claves

Puede cambiar una política de claves de tres formas diferentes, tal como se explica en las siguientes secciones.

Usar la vista predeterminada de la AWS Management Console

Puede utilizar la consola para cambiar una política de claves con una interfaz gráfica denominada la vista predeterminada.

Si estos pasos no se corresponden con lo que aparece en la consola, puede significar que la consola no ha creado esta política de claves. O bien que la política de claves se ha modificado de un modo que no admite la vista predeterminada de la consola. En ese caso, siga los pasos de Usar la vista de políticas de la AWS Management Console o Mediante la API de AWS KMS.

  1. Vea la política de claves para una clave administrada por el cliente tal y como se indica en Consultar una política de claves (consola). (Usted no puede cambiar la política claves de Claves administradas por AWS).

  2. Decida lo que desea cambiar.

    • Para agregar o eliminar administradores de claves y para permitir o evitar que los administradores de claves eliminen la clave KMS, utilice los controles de la sección Key administrators (Administradores de claves) de la página. Los administradores de claves administran la clave KMS, incluida su activación y desactivación, estableciendo la política de claves y habilitando la rotación de claves.

    • Para agregar o eliminar usuarios de claves y para permitir o no permitir que las cuentas de Cuentas de AWS externas usen la clave KMS, utilice los controles de la sección Key users (Usuarios de claves) de la página. Los usuarios de claves pueden usar la clave KMS en operaciones criptográficas, como cifrar, descifrar, volver a cifrar y generar claves de datos.

Usar la vista de políticas de la AWS Management Console

Puede utilizar la consola para cambiar un documento de política de claves con la vista de políticas de la consola.

  1. Vea la política de claves para una clave administrada por el cliente tal y como se indica en Consultar una política de claves (consola). (Usted no puede cambiar la política claves de Claves administradas por AWS).

  2. En la sección Política de claves, elija Cambiar a la vista de política.

  3. Edite el documento de políticas de claves y, a continuación, elija Save changes (Guardar cambios).

Mediante la API de AWS KMS

Puede utilizar la PutKeyPolicyoperación para cambiar la política de claves de una clave de KMS en suCuenta de AWS. No puede utilizar esta API en una clave KMS en una cuenta de Cuenta de AWS diferente.

  1. Utilice la GetKeyPolicyoperación para obtener el documento de política clave existente y, a continuación, guárdelo en un archivo. Para obtener un código de ejemplo en varios lenguajes de programación, consulte Obtener una política de claves.

  2. Abra el documento de políticas de claves en el editor de textos que prefiera, edítelo y, a continuación, guarde el archivo.

  3. Utilice la PutKeyPolicyoperación para aplicar el documento de política clave actualizado a la clave de KMS. Para obtener un código de ejemplo en varios lenguajes de programación, consulte Configurar una política de claves.

Para ver un ejemplo de cómo copiar una política clave de una clave de KMS a otra, consulte el GetKeyPolicy ejemplo en la Referencia de AWS CLI comandos.

Conceder permiso a varias entidades principales de IAM para acceder a una clave KMS

Los grupos de IAM no son entidades principales válidas en una política de claves. Para permitir que varios usuarios y roles obtengan acceso a una clave KMS, realice una de las acciones siguientes:

  • Utilice un rol de IAM como entidad principal en la política clave. Varios usuarios autorizados pueden asumir el rol según sea necesario. Para obtener más información, consulte la sección Roles de IAM en la Guía del usuario de IAM.

    Si bien puede incluir varios usuarios de IAM en una política clave, no se recomienda esta práctica porque requiere que actualice la política clave cada vez que cambia la lista de usuarios autorizados. Además, las mejores prácticas de IAM desaconsejan el uso de usuarios de IAM con credenciales a largo plazo. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM;.

  • Utilice una política de IAM para conceder permisos a un grupo de IAM. Para ello, asegúrese de que la política de claves incluya la declaración que permite a las políticas de IAM permitir el acceso a la clave KMS, cree una política de IAM que permita el acceso a la clave KMS y, a continuación, adjunte dicha política a un grupo de IAM que contenga los usuarios de IAM autorizados. Con este enfoque, no es necesario cambiar ninguna política cuando cambie la lista de usuarios autorizados. En su lugar, solo debe agregar o eliminar dichos usuarios del grupo de IAM apropiado. Para obtener más información, consulte los grupos de usuarios de IAM en la Guía del usuario de IAM

Para obtener más información sobre cómo funcionan las políticas de AWS KMS y las políticas de IAM de forma conjunta, consulte Solución de problemas de acceso a las claves.