Prueba de los permisos - AWS Key Management Service
¿Qué es DryRun?Especificación de DryRun con la API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prueba de los permisos

Para utilizar AWS KMS, debe tener credenciales que AWS pueda utilizar para autenticar las solicitudes a la API. Las credenciales deben incluir permisos para obtener acceso a las claves de KMS y alias. Los permisos vienen determinados por las políticas de claves, las políticas de IAM, las concesiones y los controles de acceso entre cuentas. Además de controlar el acceso a las claves de KMS, puede controlar el acceso a su CloudHSM y a los almacenes de claves personalizados.

Puede especificar el parámetro DryRun de la API para comprobar que dispone de los permisos necesarios para utilizar las claves de AWS KMS. También puede utilizar DryRun para comprobar que los parámetros de solicitud de una llamada a la API de AWS KMS estén especificados correctamente.

¿Qué es el parámetro DryRun?

DryRun es un parámetro de API opcional que se especifica para comprobar que las llamadas a la API de AWS KMS se realizan correctamente. Use DryRun para probar la llamada a la API antes de hacer una llamada a AWS KMS. Puede comprobar lo siguiente:

  • Que cuenta con los permisos necesarios para utilizar las claves de AWS KMS.

  • Que ha especificado correctamente los parámetros de la llamada.

AWS KMS admite el uso del parámetro DryRun en determinadas acciones de la API:

El uso del parámetro DryRun generará cargos y se facturará como una solicitud a la API estándar. Para obtener más información sobre los precios de AWS KMS, consulte Precios de AWS Key Management Service.

Todas las solicitudes a la API que utilizan el parámetro DryRun se aplican a la cuota de solicitudes a la API y pueden dar lugar a una excepción de limitación si se supera una cuota de solicitudes a la API. Por ejemplo, llamar a Decrypt con DryRun o sin DryRun cuenta para la misma cuota de operaciones criptográficas. Consulte Limitación controlada de solicitudes AWS KMS para obtener más información.

Cada llamada a una operación de la API de AWS KMS se captura como un evento y se incluye en un registro de AWS CloudTrail. El resultado de cualquier operación que especifique el parámetro DryRun aparece en el registro de CloudTrail. Para obtener más información, consulte Registrar AWS KMS API llamadas con AWS CloudTrail.

Especificación de DryRun con la API

Para usar DryRun, especifique el parámetro —dry-run en los comandos de la AWS CLI y las llamadas a la API de AWS KMS que admiten el parámetro. Cuando lo haga, AWS KMS comprobará si la llamada se ha realizado correctamente. Las llamadas a AWS KMS que utilicen DryRun siempre fallarán y devolverán un mensaje con información sobre el motivo por el que se produjo el error en la llamada. El mensaje puede incluir las siguientes excepciones:

  • DryRunOperationException: la solicitud se realizaría correctamente si DryRun no se especificara.

  • ValidationException: se produjo un error en la solicitud al especificar un parámetro de API incorrecto.

  • AccessDeniedException: no tiene permisos para realizar la acción de API especificada en el recurso de KMS.

Por ejemplo, el siguiente comando usa la operación CreateGrant y crea una concesión que permite a los usuarios que están autorizados asumir el rol keyUserRole para llamar a la operación Decrypt en la clave de KMS simétrica especificada. Se especifica el parámetro DryRun.

$  aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
    --operations Decrypt \
    --dry-run