Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS KMS permisos
<a name="kms-api-permissions-reference"></a>

Esta tabla está diseñada para ayudarle a entender AWS KMS los permisos para que pueda controlar el acceso a sus AWS KMS recursos. Las definiciones de los títulos de las columnas aparecen bajo la tabla.

También puede obtener información sobre AWS KMS los permisos en las [claves de acciones, recursos y condición del AWS Key Management Service tema de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html) la *Referencia de autorización de servicios*. Sin embargo, ese tema no enumera todas las claves de condición que puede utilizar para limitar cada permiso.

Para obtener más información sobre qué AWS KMS operaciones son válidas para las claves KMS de cifrado simétrico, las claves KMS asimétricas y las claves KMS HMAC, consulte la. [Referencia de tipos de claves](symm-asymm-compare.md) 

**nota**  
Es posible que tenga que desplazarse en forma horizontal o vertical para ver todos los datos de la tabla.

<a name="kms-api-permissions-reference-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/kms-api-permissions-reference.html)

## Descripciones de las columnas
<a name="permissions-column-descriptions"></a>

Las columnas de esta tabla proporcionan la siguiente información:
+ **Acciones y permisos** muestra cada operación de la AWS KMS API y el permiso que permite la operación. Especifique la operación en el elemento `Action` de una declaración de política.
+ **Tipo de política** indica si el permiso se puede utilizar en una política de claves o en una política de IAM. 

  *Política de claves* significa que puede especificar el permiso en la política de claves. Cuando la política de claves contiene la [declaración de política que permite las políticas de IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam), puede especificar el permiso en una política de IAM. 

  La *política de IAM* significa que puede especificar el permiso solo en la política de IAM.
+ **Uso entre cuentas** muestra las operaciones que los usuarios autorizados pueden realizar en recursos de una Cuenta de AWS diferente. 

  Un valor de *Yes (Sí)* significa que las entidades principales pueden realizar la operación en los recursos en una Cuenta de AWS diferente.

  Un valor de *No* significa que las principales entidades pueden realizar la operación solo en recursos en sus propios Cuenta de AWS.

  Si otorga a una entidad principal de una cuenta diferente un permiso que no se puede utilizar en un recurso entre cuentas, el permiso no será efectivo. Por ejemplo, si le das TagResource permiso a un director de una cuenta diferente para [usar](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) una clave de KMS en tu cuenta, sus intentos de etiquetar la clave de KMS en tu cuenta fallarán.
+ **Recursos** muestra los AWS KMS recursos a los que se aplican los permisos. AWS KMS admite dos tipos de recursos: una clave de KMS y un alias. En una política de claves, el valor del elemento `Resource` es siempre `*`, lo que indica la clave KMS a la que está asociada la política de claves. 

  Utilice los siguientes valores para representar un AWS KMS recurso en una política de IAM.  
**Clave de KMS**  
Cuando el recurso sea una clave KMS, utilice su [ARN de clave](concepts.md#key-id-key-ARN). Para obtener ayuda, consulte [Encontrar el ID de clave y el ARN de clave](find-cmk-id-arn.md).  
`arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID`  
Por ejemplo:  
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab  
**Alias**  
Cuando el recurso sea un alias, utilice su [ARN de alias](concepts.md#key-id-alias-ARN). Para obtener ayuda, consulte [Búsqueda del nombre del alias y el ARN de alias para una clave de KMS](alias-view.md).  
`arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name`  
Por ejemplo:  
arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias  
**`*` (asterisco)**  
Cuando el permiso no se aplique a un recurso determinado (clave KMS o alias), utilice un asterisco (`*`).  
En una política de IAM para un AWS KMS permiso, un asterisco en el elemento indica todos los recursos (claves y alias de KMS). `Resource` AWS KMS También puedes usar un asterisco en el `Resource` elemento cuando el AWS KMS permiso no se aplique a ninguna clave o alias de KMS en concreto. Por ejemplo, al permitir o denegar un permiso `kms:CreateKey` o `kms:ListKeys`, debe establecer el elemento `Resource` en `*`.
+ **AWS KMS las claves de condición** enumeran las claves de AWS KMS condición que puede usar para controlar el acceso a la operación. Las condiciones se especifican en un elemento `Condition` de la política. Para obtener más información, consulte [AWS KMS claves de condición](conditions-kms.md). En esta columna también se incluyen [las claves de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) que son compatibles con todos los AWS servicios AWS KMS, pero no con todos ellos.