AWS politica gestita per utenti esperti

Puoi utilizzare la policy AWSKeyManagementServicePowerUser gestita per concedere IAM ai responsabili del tuo account le autorizzazioni di un power user. Gli utenti esperti possono creare KMS chiavi, utilizzare e gestire le KMS chiavi che creano e visualizzare tutte le KMS chiavi e IAM le identità. I responsabili che dispongono della politica AWSKeyManagementServicePowerUser gestita possono anche ottenere autorizzazioni da altre fonti, tra cui politiche chiave, altre IAM politiche e sovvenzioni.

AWSKeyManagementServicePowerUserè una politica gestita AWS . IAM Per ulteriori informazioni sulle politiche AWS gestite, consulta le politiche AWS gestite nella Guida IAM per l'utente.

Nota

Le autorizzazioni contenute in questa policy, che sono specifiche per una KMS chiave, ad esempio kms:TagResource ekms:GetKeyRotationStatus, sono efficaci solo quando la policy chiave per quella KMS chiave consente esplicitamente di utilizzare IAM le policy per controllare l'accesso alla chiave. Account AWS Per determinare se un'autorizzazione è specifica per una KMS chiave, consulta AWS KMS autorizzazioni e cerca un valore di KMSchiave nella colonna Risorse.

Questa politica fornisce a un power user le autorizzazioni per qualsiasi KMS chiave con una politica chiave che ne consente l'operazione. Per le autorizzazioni tra più account, come kms:DescribeKey ekms:ListGrants, ciò potrebbe includere KMS le chiavi in untrusted. Account AWS Per informazioni dettagliate, consulta Best practice per le policy IAM e Consentire agli utenti di altri account di utilizzare una KMS chiave. Per determinare se un'autorizzazione è valida per KMS le chiavi di altri account, consulta AWS KMS autorizzazioni e cerca il valore Sì nella colonna Utilizzo tra account.

Per consentire ai responsabili di visualizzare la AWS KMS console senza errori, l'amministratore deve utilizzare il tag: GetResources permission, che non è incluso nella AWSKeyManagementServicePowerUser policy. È possibile consentire questa autorizzazione in una IAM politica separata.

La IAM politica AWSKeyManagementServicePowerUsergestita include le seguenti autorizzazioni.

Consente ai mandanti di creare KMS chiavi. Poiché questo processo include l'impostazione della politica delle chiavi, gli utenti esperti possono concedere a se stessi e agli altri il permesso di utilizzare e gestire le KMS chiavi che creano.
Consente ai responsabili di creare ed eliminare alias e tag su tutte le KMS chiavi. La modifica di un tag o di un alias può consentire o negare l'autorizzazione all'uso e alla gestione della chiave. KMS Per informazioni dettagliate, consultare ABACper AWS KMS.
Consente ai responsabili di ottenere informazioni dettagliate su tutte le KMS chiavi, inclusa la chiave, la configurazione crittograficaARN, la politica delle chiavi, gli alias, i tag e lo stato di rotazione.
Consente ai responsabili di elencare IAM utenti, gruppi e ruoli.
Questa politica non consente ai mandanti di utilizzare o gestire KMS chiavi che non hanno creato. Tuttavia, possono modificare alias e tag su tutte le KMS chiavi, il che potrebbe consentire o negare loro l'autorizzazione a utilizzare o gestire una chiave. KMS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Specificazione KMS delle chiavi nelle dichiarazioni IAM politiche

Esempi