Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Prueba de los permisos
<a name="testing-permissions"></a>

Para poder AWS KMS utilizarlas, debes tener credenciales que AWS puedas utilizar para autenticar tus solicitudes de API. Las credenciales deben incluir permisos para obtener acceso a las claves de KMS y alias. Los permisos vienen determinados por las políticas de claves, las políticas de IAM, las concesiones y los controles de acceso entre cuentas. Además de controlar el acceso a las claves de KMS, puede controlar el acceso a su CloudHSM y a los almacenes de claves personalizados.

Puede especificar el parámetro `DryRun` de la API para comprobar que dispone de los permisos necesarios para utilizar las claves de AWS KMS . También puedes utilizarlas `DryRun` para comprobar que los parámetros de la solicitud en una llamada a la AWS KMS API estén especificados correctamente. 

**Topics**
+ [¿Cuál es el DryRun parámetro?](#what-is-dryrun)
+ [Especificar DryRun con la API](#dryrun-api)

## ¿Cuál es el DryRun parámetro?
<a name="what-is-dryrun"></a>

 `DryRun` es un parámetro de API opcional que se especifica para comprobar que las llamadas a la API de AWS KMS se realizan correctamente. Use `DryRun` para probar la llamada a la API antes de hacer una llamada a AWS KMS. Puede comprobar lo siguiente: 
+ Que cuenta con los permisos necesarios para utilizar las claves de AWS KMS .
+ Que ha especificado correctamente los parámetros de la llamada.

AWS KMS admite el uso del `DryRun` parámetro en determinadas acciones de la API: 
+ [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
+ [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)
+ [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)
+ [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)
+ [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
+ [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)
+ [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)
+ [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
+ [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)
+ [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)
+ [Verificar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html)
+ [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)

El uso del parámetro `DryRun` generará cargos y se facturará como una solicitud a la API estándar. Para obtener más información sobre AWS KMS los precios, consulta [AWS Key Management Service Precios](https://aws.amazon.com/kms/pricing/).

 Todas las solicitudes a la API que utilizan el parámetro `DryRun` se aplican a la cuota de solicitudes a la API y pueden dar lugar a una excepción de limitación si se supera una cuota de solicitudes a la API. Por ejemplo, llamar a [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) con `DryRun` o sin `DryRun` cuenta para la misma cuota de operaciones criptográficas. Consulte [Limitar las solicitudes AWS KMS](throttling.md) para obtener más información.

Cada llamada a una operación de AWS KMS API se captura como un evento y se registra en un AWS CloudTrail registro. El resultado de cualquier operación que especifique el `DryRun` parámetro aparece en el CloudTrail registro. Para obtener más información, consulte [Registrar llamadas a la AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md).

## Especificar DryRun con la API
<a name="dryrun-api"></a>

Para usarlo`DryRun`, especifique el `—dry-run` parámetro en los AWS CLI comandos y las llamadas a la AWS KMS API que admiten el parámetro. Cuando lo hagas, AWS KMS verificará si la llamada se ha realizado correctamente. AWS KMS las llamadas que utilice siempre `DryRun` fallarán y devolverán un mensaje con información sobre el motivo por el que se produjo el error en la llamada. El mensaje puede incluir las siguientes excepciones:
+ `DryRunOperationException`: la solicitud se realizaría correctamente si `DryRun` no se especificara. 
+ `ValidationException`: se produjo un error en la solicitud al especificar un parámetro de API incorrecto.
+ `AccessDeniedException`: no tiene permisos para realizar la acción de API especificada en el recurso de KMS.

Por ejemplo, el siguiente comando usa la [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operación y crea una concesión que permite a los usuarios autorizados a asumir la `keyUserRole` función llamar a la operación de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) con una clave [KMS simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) especificada. Se especifica el parámetro `DryRun`.

```
$  aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
    --operations Decrypt \
    --dry-run
```