Permisos de roles vinculados a un servicio para almacenes de claves personalizadas de AWS KMS Permisos de roles vinculados a un servicio para claves de AWS KMS de varias regiones Actualizaciones de AWS KMS a las políticas administradas de AWS

Uso de roles vinculados a servicios de AWS KMS

AWS Key Management Service utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a AWS KMS. Los roles vinculados a un servicio están definidos por AWS KMS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Con un rol vinculado a servicios, resulta más sencillo configurar AWS KMS, porque no es preciso agregar los permisos necesarios manualmente. AWS KMS define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo AWS KMS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. De esta forma, se protegen los recursos de AWS KMS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a un servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a un servicio para almacenes de claves personalizadas de AWS KMS

AWS KMS utiliza un rol vinculado a un servicio denominado AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy para admitir almacenes de clave personalizada. Este rol vinculado a un servicio otorga permiso de AWS KMS para ver sus clústeres AWS CloudHSM y crear la infraestructura de red para admitir una conexión entre el almacén de claves personalizado y su clúster AWS CloudHSM,AWS KMS crea este rol solo cuando se crea un almacén de claves personalizadas. No puede crear este rol vinculado a un servicio directamente.

El rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceCustomKeyStores confía en que el servicio cks.kms.amazonaws.com asuma el rol. En consecuencia, solo AWS KMS puede asumir este rol vinculado a un servicio.

Los permisos del rol están limitados a las acciones que ejecuta AWS KMS para conectar un almacén de claves personalizado con un clúster de AWS CloudHSM. No concede permisos adicionales a AWS KMS. Por ejemplo, AWS KMS no dispone de permiso para crear, administrar o eliminar los clústeres de AWS CloudHSM, los HSM o las copias de seguridad.

Para obtener más información acerca del rol AWSServiceRoleForKeyManagementServiceCustomKeyStores, incluida la lista de permisos y las declaraciones sobre cómo ver el rol, editar la descripción del rol, eliminar el rol y hacer que AWS KMS vuelva a crearlo, consulte Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2.

Permisos de roles vinculados a un servicio para claves de AWS KMS de varias regiones

AWS KMS usa un rol vinculado a un servicio denominado AWSServiceRoleForKeyManagementServiceMultiRegionKeys para admitir claves de varias regiones. El rol vinculado a un servicio le otorga permiso a AWS KMS para sincronizar los cambios realizados en el material de clave de una clave principal de varias regiones con las claves de réplica. AWS KMS crea este rol solo cuando se crea una clave principal de varias regiones. No puede crear este rol vinculado a un servicio directamente.

El rol vinculado a un servicio AWSServiceRoleForKeyManagementServiceMultiRegionKeys confía en que el servicio mrk.kms.amazonaws.com asuma el rol. En consecuencia, solo AWS KMS puede asumir este rol vinculado a un servicio. Los permisos del rol están limitados a las acciones que AWS KMS realiza para mantener sincronizado el material clave de las claves de varias regiones relacionadas. No concede permisos adicionales a AWS KMS.

Para obtener más información acerca del rol AWSServiceRoleForKeyManagementServiceMultiRegionKeys, incluida la lista de permisos y las declaraciones sobre cómo ver el rol, editar la descripción del rol, eliminar el rol y hacer que AWS KMS vuelva a crearlo, consulte Autorización de AWS KMS para la sincronización de claves de varias regiones.

Actualizaciones de AWS KMS a las políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para AWS KMS debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de AWS KMS Historial de documentos.

Cambio	Descripción	Fecha
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy: actualización de la política existente	AWS KMS agregó los permisos `ec2:DescribeVpcs`, `ec2:DescribeNetworkAcls` y `ec2:DescribeNetworkInterfaces` para supervisar los cambios en la VPC que contiene el clúster de AWS CloudHSM, de modo que AWS KMS pueda proporcionar mensajes de error claros en caso de fallos.	10 de noviembre de 2023
AWS KMS comenzó el seguimiento de los cambios	AWS KMS comenzó el seguimiento de los cambios de las políticas administradas de AWS.	10 de noviembre de 2023

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso entre cuentas

Control del acceso a claves de varias regiones