Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

RBAC para AWS KMS

PDF
RSS
Modo de enfoque
RBAC para AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El control de acceso basado en roles (RBAC) es una estrategia de autorización que solo proporciona a los usuarios los permisos necesarios para realizar sus tareas laborales, y nada más. AWS KMS es compatible con el RBAC, ya que le permite controlar el acceso a sus claves especificando permisos detallados sobre el uso de las claves dentro de las políticas de claves. Las políticas de claves especifican un recurso, una acción, un efecto, una entidad principal y unas condiciones opcionales para conceder el acceso a las claves.

Para implementar el RBAC en AWS KMS, recomendamos separar los permisos de los usuarios clave de los administradores clave.

Key users

El siguiente ejemplo de política de claves permite al rol de IAM de ExampleUserRole utilizar la clave KMS.

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

Es posible que sus usuarios de claves necesiten menos permisos que el usuario de este ejemplo. Asigne solo los permisos que necesite el usuario. Utilice las siguientes preguntas para ajustar con más precisión los permisos.

  • ¿Qué entidades principales de IAM (roles o usuarios) necesitan acceder a la clave?

  • ¿Qué acciones debe realizar cada entidad principal con la clave? Por ejemplo, ¿la entidad principal solo necesita permisos de cifrado y firma?

  • ¿El usuario es una persona o un servicio? AWS Si se trata de un AWS servicio, puede usar la clave de condición para restringir el uso de la clave a un AWS servicio específico.

Key administrators

El siguiente ejemplo de política de claves permite al rol de IAM de ExampleAdminRole administrar la clave KMS. 

{
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleAdminRole"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
    }

Es posible que los administradores de claves necesiten menos permisos que el administrador de este ejemplo. Asigne únicamente los permisos que necesiten sus administradores de claves.

anchoranchor

El siguiente ejemplo de política de claves permite al rol de IAM de ExampleUserRole utilizar la clave KMS.

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

Es posible que sus usuarios de claves necesiten menos permisos que el usuario de este ejemplo. Asigne solo los permisos que necesite el usuario. Utilice las siguientes preguntas para ajustar con más precisión los permisos.

  • ¿Qué entidades principales de IAM (roles o usuarios) necesitan acceder a la clave?

  • ¿Qué acciones debe realizar cada entidad principal con la clave? Por ejemplo, ¿la entidad principal solo necesita permisos de cifrado y firma?

  • ¿El usuario es una persona o un servicio? AWS Si se trata de un AWS servicio, puede usar la clave de condición para restringir el uso de la clave a un AWS servicio específico.

Otorgue a los usuarios únicamente los permisos que necesitan para cumplir con sus roles. Los permisos de un usuario pueden variar en función de si la clave se utiliza en entornos de prueba o de producción. Si utiliza permisos menos restrictivos en determinados entornos que no son de producción, implemente un proceso para probar las políticas antes de lanzarlas a producción.

Más información
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.