Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Examinar políticas do IAM

PDF
RSS
Modo de foco
Examinar políticas do IAM - AWS Key Management Service
Examinar políticas do IAM com o Simulador de políticas do IAMExaminar políticas do IAM com a API do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Além da política de chaves e concessões, também é possível usar as políticas do IAM para permitir o acesso a uma chave do KMS. Para obter mais informações sobre como as políticas do IAM e as políticas de chaves funcionam juntas, consulte Solução de problemas de AWS KMS permissões.

Para determinar quais entidades principais têm acesso no momento a uma chave do KMS por meio de políticas do IAM, você pode usar a ferramenta baseada em navegador Simulador de políticas do IAM, ou pode fazer solicitações para a API do IAM.

Examinar políticas do IAM com o Simulador de políticas do IAM

O Simulador de políticas do IAM pode ajudar a saber quais entidades principais têm acesso a uma chave do KMS por meio de uma política do IAM.

Para usar o simulador de políticas do IAM para determinar o acesso a uma chave do KMS

  1. Faça login no AWS Management Console e abra o IAM Policy Simulator emhttps://policysim.aws.amazon.com/.

  2. No painel Users, Groups, and Roles (Usuários, grupos e funções), escolha o usuário, o grupo ou a função cujas políticas você deseja simular.

  3. (Opcional) Desmarque a caixa de seleção ao lado de qualquer política que você deseja omitir da simulação. Para simular todas as políticas, deixe todas as políticas selecionadas.

  4. No painel Policy Simulator (Simulador de políticas), faça o seguinte:

    1. Para Select service (Selecionar serviço), selecione Key Management Service.

    2. Para simular AWS KMS ações específicas, em Selecionar ações, escolha as ações a serem simuladas. Para simular todas as AWS KMS ações, escolha Selecionar tudo.

  5. (Opcional) O Simulador de políticas simula o acesso a todas as chaves do KMS por padrão. Para simular o acesso a uma determinada chave do KMS, escolha Simulation Settings (Configurações de simulação) e digite o nome do recurso da Amazon (ARN) da chave do KMS a ser simulada.

  6. Selecione Run Simulation (Executar simulação).

Você pode visualizar os resultados da simulação na seção Results (Resultados). Repita as etapas 2 a 6 para cada usuário, grupo e perfil na Conta da AWS.

Examinar políticas do IAM com a API do IAM

Você pode usar a API do IAM para examinar políticas do IAM programaticamente. As etapas a seguir fornecem uma visão geral de como fazer isso:

  1. Para cada um Conta da AWS listado como principal na política de chaves (ou seja, cada principal de AWS conta especificado neste formato:"Principal": {"AWS": "arn:aws:iam::111122223333:root"}), use as ListRolesoperações ListUserse na API do IAM para obter todos os usuários e funções na conta.

  2. Para cada usuário e função na lista, use a SimulatePrincipalPolicyoperação na API IAM, transmitindo os seguintes parâmetros:

    • Para PolicySourceArn, especifique o Amazon Resource Name (ARN) de um usuário ou função da sua lista. É possível especificar somente um PolicySourceArn para cada solicitação SimulatePrincipalPolicy, portanto, você deve chamar essa operação diversas vezes, uma vez para cada perfil e usuário em sua lista.

    • Para a ActionNames lista, especifique cada ação AWS KMS da API a ser simulada. Para simular todas as ações AWS KMS da API, usekms:*. Para testar ações de AWS KMS API individuais, preceda cada ação de API com "kms:“, por exemplo,"kms:ListKeys”. Para obter uma lista completa das ações de API do AWS KMS , consulte Actions (Ações) na Referência de API do AWS Key Management Service .

    • (Opcional) Para determinar se os usuários ou funções têm acesso a chaves KMS específicas, use o ResourceArns parâmetro para especificar uma lista dos nomes de recursos da Amazon (ARNs) das chaves do KMS. Para determinar se os usuários ou perfis têm acesso a qualquer chave do KMS, omita o parâmetro ResourceArns.

O IAM responde a cada solicitação SimulatePrincipalPolicy com uma decisão de avaliação: allowed, explicitDeny ou implicitDeny. Para cada resposta que contém uma decisão de avaliação deallowed, a resposta inclui o nome da operação de AWS KMS API específica que é permitida. Ela também inclui o ARN da chave do KMS que foi usada na avaliação, se houver.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.