Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS permisos
Esta tabla está diseñada para ayudarle a entender AWS KMS los permisos para que pueda controlar el acceso a sus AWS KMS recursos. Las definiciones de los títulos de las columnas aparecen bajo la tabla.
También puede obtener información sobre AWS KMS los permisos en las claves de acciones, recursos y condición del AWS Key Management Service tema de la Referencia de autorización de servicios. Sin embargo, ese tema no enumera todas las claves de condición que puede utilizar para limitar cada permiso.
nota
Es posible que tenga que desplazarse en forma horizontal o vertical para ver todos los datos de la tabla.
| Acciones y permisos | Tipo de política | Uso entre cuentas | Recursos (para políticas de IAM) | AWS KMS claves de condición |
|---|---|---|---|---|
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
| ConnectCustomKeyStore
|
Política de IAM | No |
|
|
|
Para utilizar esta operación, el intermediario necesita permiso
Para obtener más detalles, consulte Control del acceso a alias. |
Política de IAM (para el alias) |
No |
Alias |
Ninguno (cuando se controla el acceso al alias) |
|
Política de claves (para la clave KMS) |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
| CreateCustomKeyStore
|
Política de IAM | No |
|
|
|
|
Política de claves |
Sí |
Clave KMS |
Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones de concesión: Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de IAM |
No |
|
km: BypassPolicyLockoutSafetyCheck aws:RequestTag/tag-key (clave de condición AWS global) aws:ResourceTag/tag-key (clave de condición global)AWS aws: TagKeys (clave de condición AWS global) |
|
|
Política de claves |
Sí |
Clave KMS |
Condiciones para operaciones criptográficas Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
Para utilizar esta operación, el intermediario necesita permiso
Para obtener más detalles, consulte Control del acceso a alias. |
Política de IAM (para el alias) |
No |
Alias |
Ninguno (cuando se controla el acceso al alias) |
|
Política de claves (para la clave KMS) |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
| DeleteCustomKeyStore
|
Política de IAM | No |
|
|
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
| DedriveSharedSecret
|
Política de claves | Sí | Clave KMS | Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Condiciones para operaciones criptográficas: |
| DescribeCustomKeyStores
|
Política de IAM | No |
|
|
|
|
Política de claves |
Sí |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
| DisconnectCustomKeyStore
|
Política de IAM | No |
|
|
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
No |
Clave KMS (solo simétrica) |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Condiciones de rotación automática de las teclas: |
|
|
Política de claves |
Sí |
Clave KMS |
Condiciones para operaciones criptográficas Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
Sí |
Clave KMS (solo simétrica) |
Condiciones para operaciones criptográficas Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
Sí |
Clave KMS (solo simétrica) Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica. |
Condiciones para pares de claves de datos: Condiciones para operaciones criptográficas Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
GenerateDataKeyPairWithoutPlaintext
|
Política de claves |
Sí |
Clave KMS (solo simétrica) Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica. |
Condiciones para pares de claves de datos: Condiciones para operaciones criptográficas Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
GenerateDataKeyWithoutPlaintext
|
Política de claves |
Sí |
Clave KMS (solo simétrica) |
Condiciones para operaciones criptográficas Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
| GenerateMac
|
Política de claves | Sí | Clave KMS | Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Condiciones para operaciones criptográficas: |
|
|
Política de IAM |
N/A |
|
Ninguna |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
Sí |
Clave KMS (solo simétrica) |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
Sí |
Clave KMS (solo asimétrica) |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: km: ExpirationModel |
|
|
Política de IAM |
No |
|
Ninguna |
|
|
Política de claves |
Sí |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
No |
Clave KMS (solo simétrica) |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de IAM |
No |
|
Ninguna |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de IAM |
La principal entidad especificada debe estar en la cuenta local, pero la operación devuelve concesiones en todas las cuentas. |
|
Ninguna |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: |
|
Para utilizar esta operación, la persona que llama necesita permiso en dos claves KMS:
|
Política de claves |
Sí |
Clave KMS |
Condiciones para operaciones criptográficas Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: |
|
Para utilizar esta operación, la persona que llama necesita estos permisos:
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: |
|
El permiso para retirar una concesión se determina principalmente por la concesión. Una política por sí sola no puede permitir el acceso a esta operación. Para obtener más información, consulte Retiro y revocación de concesiones. |
Política de IAM (Este permiso no es efectivo en una política de clave.) |
Sí |
Clave KMS |
Condiciones de contexto de cifrado: kmsEncryptionContext: clave de contexto Condiciones de concesión: Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
Sí |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones: |
|
|
Política de claves |
No |
Clave KMS (solo simétrica) |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
Sí |
Clave KMS (solo asimétrica) |
Condiciones para la firma y la verificación: km: RequestAliasCondiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Condiciones para el etiquetado: aws:RequestTag/tag-key (clave de condición AWS global) aws: TagKeys (clave de condición AWS global) |
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Condiciones para el etiquetado: aws:RequestTag/tag-key (clave de condición AWS global) aws: TagKeys (clave de condición AWS global) |
|
Para utilizar esta operación, el intermediario necesita permiso
Para obtener más detalles, consulte Control del acceso a alias. |
Política de IAM (para el alias) |
No |
Alias |
Ninguno (cuando se controla el acceso al alias) |
|
Política de claves (para las claves KMS) |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
| UpdateCustomKeyStore
|
Política de IAM | No |
|
|
|
|
Política de claves |
No |
Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
|
Para utilizar esta operación, la persona que llama necesita permiso |
Política de claves |
No | Clave KMS |
Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Otras condiciones |
|
|
Política de claves |
Sí | Clave KMS (solo asimétrica) |
Condiciones para la firma y la verificación: km: RequestAliasCondiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) |
| VerifyMac
|
Política de claves | Sí | Clave KMS | Condiciones para las operaciones clave KMS: aws:ResourceTag/tag-key (clave de condición AWS global) Condiciones para operaciones criptográficas: |
Descripciones de las columnas
Las columnas de esta tabla proporcionan la siguiente información:
-
Acciones y permisos muestra cada operación de la AWS KMS API y el permiso que permite la operación. Especifique la operación en el elemento
Actionde una declaración de política. -
Tipo de política indica si el permiso se puede utilizar en una política de claves o en una política de IAM.
Política de claves significa que puede especificar el permiso en la política de claves. Cuando la política de claves contiene la declaración de política que permite las políticas de IAM, puede especificar el permiso en una política de IAM.
La política de IAM significa que puede especificar el permiso solo en la política de IAM.
-
Uso entre cuentas muestra las operaciones que los usuarios autorizados pueden realizar en recursos de una Cuenta de AWS diferente.
Un valor de Yes (Sí) significa que las entidades principales pueden realizar la operación en los recursos en una Cuenta de AWS diferente.
Un valor de No significa que las principales entidades pueden realizar la operación solo en recursos en sus propios Cuenta de AWS.
Si otorga a una entidad principal de una cuenta diferente un permiso que no se puede utilizar en un recurso entre cuentas, el permiso no será efectivo. Por ejemplo, si le das TagResource permiso a un director de una cuenta diferente para usar una clave de KMS en tu cuenta, sus intentos de etiquetar la clave de KMS en tu cuenta fallarán.
-
Recursos muestra los AWS KMS recursos a los que se aplican los permisos. AWS KMS admite dos tipos de recursos: una clave KMS y un alias. En una política de claves, el valor del elemento
Resourcees siempre*, lo que indica la clave KMS a la que está asociada la política de claves.Utilice los siguientes valores para representar un AWS KMS recurso en una política de IAM.
- Clave de KMS
-
Cuando el recurso sea una clave KMS, utilice su ARN de clave. Para obtener ayuda, consulte Búsqueda del ID y el ARN de la clave.
arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_IDPor ejemplo:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- Alias
-
Cuando el recurso sea un alias, utilice su ARN de alias. Para obtener ayuda, consulte Buscar el nombre del alias y el ARN de alias.
arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_namePor ejemplo:
arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias
*(asterisco)-
Cuando el permiso no se aplique a un recurso determinado (clave KMS o alias), utilice un asterisco (
*).En una política de IAM para un AWS KMS permiso, un asterisco en el elemento indica todos los recursos (claves y alias de KMS).
ResourceAWS KMS También puedes usar un asterisco en elResourceelemento cuando el AWS KMS permiso no se aplique a ninguna clave o alias de KMS en concreto. Por ejemplo, al permitir o denegar el permisokms:CreateKeyokms:ListKeys, puede establecer el elementoResourceen*o en una variación específica de la cuenta, comoarn:.AWS_partition_name:kms:AWS_region:AWS_account_ID:*
-
AWS KMS las claves de condición enumeran las claves de AWS KMS condición que puede usar para controlar el acceso a la operación. Las condiciones se especifican en un elemento
Conditionde la política. Para obtener más información, consulte AWS KMS claves de condición. Esta columna también incluye las claves de condición AWS globales que son compatibles con todos los AWS servicios AWS KMS, pero no con todos ellos.
