As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controlar o acesso à exclusão de chaves
<a name="deleting-keys-adding-permission"></a>

Se você usa políticas do IAM para permitir AWS KMS permissões, as identidades do IAM que têm acesso de AWS administrador (`"Action": "*"`) ou acesso AWS KMS total (`"Action": "kms:*"`) já podem agendar e cancelar a exclusão das chaves do KMS. Para permitir que os administradores de chaves programem e cancelem a exclusão de chaves na política de chaves, use o AWS KMS console ou a AWS KMS API. 

Normalmente, apenas os administradores de chaves têm permissão para programar ou cancelar a exclusão da chave. Porém, você pode conceder essas permissões a outras identidades do IAM adicionando a permissão`kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion` à política de chaves ou a uma política do IAM. Você também pode usar a chave de [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)condição para restringir ainda mais os valores que os principais podem especificar no `PendingWindowInDays` parâmetro de uma [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)solicitação.

## Permitir que administradores de chaves agendem e cancelem a exclusão de chaves
<a name="allow-key-deletion"></a>

### Usando o AWS KMS console
<a name="deleting-keys-adding-permission-console"></a>

Para conceder aos administradores de chaves permissão para agendar e cancelar a exclusão de chaves.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha o alias ou o ID de chave da chave do KMS cujas permissões você quer alterar.

1. Selecione a guia **Key policy** (Política de chaves).

1. A próxima etapa difere a *visualização padrão* da *visualização de política* de sua política de chaves. A visualização padrão estará disponível somente se você estiver usando a política de chaves padrão do console. Senão, apenas a visualização da política estará disponível.

   Quando a visualização padrão está disponível, o botão **Switch to policy view** (Alternar para visualização de política) ou **Switch to default view** (Alternar para visualização padrão) é exibido na guia **Key policy** (Política de chaves).
   + Na visualização padrão:

     1. Em **Key deletion** (Exclusão de chaves), escolha **Allow key administrators to delete this key** (Permitir que administradores de chaves excluam esta chave).
   + Na visualização de política:

     1. Escolha **Editar**.

     1. Na declaração de política para administradores de chave, adicione as permissões `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion` ao elemento `Action`.

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Escolha **Salvar alterações**.

### Usando a AWS KMS API
<a name="deleting-keys-adding-permission-cli"></a>

Você pode usar o AWS Command Line Interface para adicionar permissões para agendar e cancelar a exclusão da chave.

**Para adicionar permissão para programar e cancelar a exclusão de chaves**

1. Use o comando [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) para recuperar a política de chaves existente e, em seguida, salve o documento de política em um arquivo.

1. Abra o documento de política no editor de texto de sua preferência. Na declaração de política para administradores de chave, adicione as permissões `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion`. O exemplo a seguir mostra uma declaração de política com essas duas permissões:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Use o comando [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) para aplicar a política de chaves à chave do KMS.