Usando políticas do IAM com AWS KMS - AWS Key Management Service
Permitir que diversas entidades principais do IAM acessem uma chave do KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas do IAM com AWS KMS

Você pode usar as políticas do IAM, junto com as principais políticas, concessões e políticas de VPC endpoint, para controlar o acesso à sua entrada. AWS KMS keys AWS KMS

nota

Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chaves da chave do KMS deve conceder à conta permissão para usar políticas do IAM. Especificamente, a política de chaves deve incluir a instrução de política que habilita políticas do IAM.

Esta seção explica como usar as políticas do IAM para controlar o acesso às AWS KMS operações. Para obter informações mais gerais sobre permissões do IAM, consulte o Manual do usuário do IAM.

Todas chaves do KMS do KMS têm uma política de chaves. Políticas do IAM são opcionais. Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chaves da chave do KMS deve conceder à conta permissão para usar políticas do IAM. Especificamente, a política de chaves deve incluir a instrução de política que habilita políticas do IAM.

As políticas do IAM podem controlar o acesso a qualquer AWS KMS operação. Diferentemente das políticas de chaves, as políticas do IAM podem controlar o acesso a várias chaves do KMS e fornecer permissões para as operações de vários AWS serviços relacionados. Mas as políticas do IAM são particularmente úteis para controlar o acesso a operações CreateKey, como aquelas que não podem ser controladas por uma política de chaves porque não envolvem nenhuma chave KMS específica.

Se você acessar AWS KMS por meio de um endpoint da Amazon Virtual Private Cloud (Amazon VPC), você também pode usar uma política de endpoint de VPC para limitar o acesso aos seus AWS KMS recursos ao usar o endpoint. Por exemplo, ao usar o VPC endpoint, você pode permitir que apenas os principais acessem suas Conta da AWS chaves gerenciadas pelo cliente. Para obter detalhes, consulte Editar a política de endpoints da VPC.

Para ajuda sobre como escrever e formatar um documento de política JSON, consulte aReferência a políticas JSON do IAM, no Manual do usuário do IAM.

Use as políticas do IAM das seguintes maneiras:

  • Anexe uma política de permissões a uma função para permissões de federação ou entre contas — Você pode anexar uma política do IAM a uma função do IAM para permitir a federação de identidades, permitir permissões entre contas ou conceder permissões a aplicativos executados em EC2 instâncias. Para mais informações sobre os vários casos de uso das funções do IAM, consulte Funções do IAM no Manual do usuário do IAM.

  • Vincular uma política de permissões a um usuário ou a um grupo: é possível vincular uma política que permite que um usuário ou um grupo de usuários chame operações do AWS KMS . No entanto, as práticas recomendadas do IAM recomendam usar identidades com credenciais temporárias, como perfis do IAM, sempre que possível.

O exemplo a seguir mostra uma política do IAM com AWS KMS permissões. Essa política permite que as identidades do IAM às quais está associada obtenham todas as chaves do KMS e aliases.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

Como todas as políticas do IAM, essa política não tem um elemento Principal. Quando você vincula uma política do IAM a uma identidade do IAM, essa identidade obtém as permissões especificadas na política.

Para ver uma tabela mostrando todas as ações da AWS KMS API e os recursos aos quais elas se aplicam, consulte Referência de permissões o.

Permitir que diversas entidades principais do IAM acessem uma chave do KMS

Grupos do IAM não são entidades principais válidas em uma política de chaves. Para permitir que diversos usuários e perfis acessem uma chave do KMS, siga um dos procedimentos a seguir:

  • Use um perfil do IAM como entidade principal na política de chaves. Diversos usuários autorizados podem assumir o perfil, conforme necessário. Para obter detalhes, consulte Perfis do IAM no Guia do usuário do IAM.

    Embora você possa listar diversos usuários do IAM em uma política de chaves, essa prática não é recomendada porque requer que você atualize a política de chaves sempre que a lista de usuários autorizados for alterada. Além disso, as práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

  • Use uma política do IAM para conceder permissões a um grupo do IAM. Para fazer isso, certifique-se de que a política de chaves inclua a instrução que possibilita que as políticas do IAM concedam acesso à chave do KMS, crie uma política do IAM que conceda acesso à chave do KMS e, em seguida, vincule essa política a um grupo do IAM que contenha os usuários do IAM autorizados. Com essa abordagem, você não precisará alterar nenhuma política quando a lista de usuários autorizados for alterada. Basta adicionar ou remover esses usuários do grupo do IAM apropriado. Para obter detalhes, consulte Grupos de usuários do IAM no Guia do usuário do IAM.

Para obter mais informações sobre como as AWS KMS principais políticas e as políticas do IAM funcionam juntas, consulteSolução de problemas de AWS KMS permissões.