Usando IAM políticas com AWS KMS - AWS Key Management Service
Permitindo que vários IAM diretores acessem uma chave KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando IAM políticas com AWS KMS

Você pode usar IAM políticas, junto com as principais políticas, concessões e políticas de VPC endpoint, para controlar o acesso à sua entrada AWS KMS keys . AWS KMS

nota

Para usar uma IAM política para controlar o acesso a uma KMS chave, a política de KMS chaves da chave deve dar permissão à conta para usar IAM políticas. Especificamente, a política de chave deve incluir a declaração de política que habilita as políticas do IAM.

Esta seção explica como usar IAM políticas para controlar o acesso às AWS KMS operações. Para obter mais informações gerais sobreIAM, consulte o Guia IAM do usuário.

Todas KMS as chaves devem ter uma política de chaves. IAMas políticas são opcionais. Para usar uma IAM política para controlar o acesso a uma KMS chave, a política de KMS chaves da chave deve dar permissão à conta para usar IAM políticas. Especificamente, a política de chave deve incluir a declaração de política que habilita as políticas do IAM.

IAMas políticas podem controlar o acesso a qualquer AWS KMS operação. Diferentemente das políticas de chaves, IAM as políticas podem controlar o acesso a várias KMS chaves e fornecer permissões para as operações de vários AWS serviços relacionados. Mas IAM as políticas são particularmente úteis para controlar o acesso a operações CreateKey, como as que não podem ser controladas por uma política de chaves porque não envolvem nenhuma KMS chave específica.

Se você acessar AWS KMS por meio de um endpoint da Amazon Virtual Private Cloud (AmazonVPC), você também pode usar uma política de VPC endpoint para limitar o acesso aos seus AWS KMS recursos ao usar o endpoint. Por exemplo, ao usar o VPC endpoint, você pode permitir que apenas os principais acessem suas chaves Conta da AWS gerenciadas pelo cliente. Para obter detalhes, consulte as políticas VPC de endpoint.

Para obter ajuda na redação e formatação de um documento de JSON política, consulte a Referência IAM JSON de política no Guia do IAM usuário.

Use as políticas do IAM das seguintes maneiras:

  • Anexe uma política de permissões a uma função para permissões de federação ou entre contas — Você pode anexar uma IAM política a uma IAM função para habilitar a federação de identidades, permitir permissões entre contas ou conceder permissões a aplicativos executados em EC2 instâncias. Para obter mais informações sobre os vários casos de uso de IAM funções, consulte IAMFunções no Guia IAM do usuário.

  • Vincular uma política de permissões a um usuário ou a um grupo: é possível vincular uma política que permite que um usuário ou um grupo de usuários chame operações do AWS KMS . No entanto, as IAM melhores práticas recomendam que você use identidades com credenciais temporárias, como IAM funções, sempre que possível.

O exemplo a seguir mostra uma IAM política com AWS KMS permissões. Essa política permite que IAM as identidades às quais ela está anexada listem todas as KMS chaves e aliases.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

Como todas as políticas do IAM, essa política não tem um elemento Principal. Quando você anexa uma IAM política a uma IAM identidade, essa identidade obtém as permissões especificadas na política.

Para ver uma tabela mostrando todas as AWS KMS API ações e os recursos aos quais elas se aplicam, consulte Referência de permissões o.

Permitindo que vários IAM diretores acessem uma chave KMS

Os grupos do IAM não são principais válidos em uma política de chaves. Para permitir que vários usuários e funções acessem uma KMS chave, faça o seguinte:

  • Use uma IAM função como principal na política principal. Diversos usuários autorizados podem assumir o perfil, conforme necessário. Para obter detalhes, consulte as IAMfunções no Guia IAM do usuário.

    Embora você possa listar vários IAM usuários em uma política de chaves, essa prática não é recomendada porque exige que você atualize a política de chaves sempre que a lista de usuários autorizados for alterada. Além disso, as IAM melhores práticas desencorajam o uso de IAM usuários com credenciais de longo prazo. Para obter detalhes, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

  • Use uma IAM política para dar permissão a um IAM grupo. Para fazer isso, certifique-se de que a política de chaves inclua a declaração que permite que IAM as políticas permitam acesso à KMS chave, crie uma IAM política que permita o acesso à KMS chave e, em seguida, anexe essa política a um IAM grupo que contenha os IAM usuários autorizados. Com essa abordagem, você não precisará alterar nenhuma política quando a lista de usuários autorizados for alterada. Em vez disso, você só precisa adicionar ou remover esses usuários do grupo do IAM adequado. Para obter detalhes, consulte grupos de IAM usuários no Guia IAM do usuário

Para obter mais informações sobre como as AWS KMS principais políticas e IAM políticas funcionam juntas, consulteSolução de problemas de permissões do AWS KMS.