Alterar uma política de chave - AWS Key Management Service
Como alterar uma política de chaves

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterar uma política de chave

Você pode alterar a política de chaves de uma KMS chave na sua Conta da AWS usando a PutKeyPolicyoperação AWS Management Console ou. Você não pode usar essas técnicas para alterar a política de chaves de uma KMS chave em outra Conta da AWS.

Ao alterar a política de chaves, lembre-se das seguintes regras:

  • É possível visualizar a política de chaves de uma Chave gerenciada pela AWS ou de uma chave gerenciada pelo cliente, mas só é possível alterar a política de chaves de uma chave gerenciada pelo cliente. As políticas de Chaves gerenciadas pela AWS são criadas e gerenciadas pelo AWS serviço que criou a KMS chave em sua conta. Não é possível visualizar ou alterar a política de chaves para uma Chave pertencente à AWS.

  • Você pode adicionar ou remover IAM usuários, IAM funções e Contas da AWS na política de chaves e alterar as ações que são permitidas ou negadas para esses diretores. Para mais informações sobre as maneiras de especificar principais e permissões em uma política de chaves, consulte Políticas de chaves.

  • Você não pode adicionar IAM grupos a uma política de chaves, mas pode adicionar vários IAM usuários e IAM funções. Para obter mais informações, consulte Permitindo que vários IAM diretores acessem uma chave KMS.

  • Se você adicionar políticas externas Contas da AWS a uma política de chaves, também deverá usar IAM políticas nas contas externas para conceder permissões a IAM usuários, grupos ou funções nessas contas. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

  • O documento de política de chaves resultante não pode exceder 32 KB (32.768 bytes).

Como alterar uma política de chaves

Você pode alterar uma política de chaves de três maneiras diferentes, conforme explicado nas seções a seguir.

Usar a visualização padrão do AWS Management Console

Você pode usar o console para alterar uma política de chaves com uma interface gráfica chamada visualização padrão.

Se as seguintes etapas não correspondem à visualização no console, isso significa que essa política de chaves não foi criada pelo console. Ou significa que a política de chaves foi modificada e é incompatível com a visualização padrão do console. Nesse caso, siga as etapas em Usando a visualização AWS Management Console da política ou Usando o AWS KMS API.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Usar o console de AWS KMS. (Você não pode alterar as principais políticas do Chaves gerenciadas pela AWS.)

  2. Defina o que alterar.

    • Para adicionar ou remover administradores de chaves e permitir ou impedir que os administradores de chaves excluam a KMS chave, use os controles na seção Administradores de chaves da página. Os administradores de chaves gerenciam a KMS chave, incluindo ativá-la e desativá-la, definir a política de chaves e ativar a rotação de chaves.

    • Para adicionar ou remover usuários principais e permitir ou Contas da AWS proibir o uso externo da KMS chave, use os controles na seção Usuários principais da página. Os principais usuários podem usar a KMS chave em operações criptográficas, como criptografia, descriptografia, recriptografia e geração de chaves de dados.

Usando a visualização AWS Management Console da política

Você pode usar o console para alterar um documento de política de chaves com a visualização de política do console.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Usar o console de AWS KMS. (Você não pode alterar as principais políticas do Chaves gerenciadas pela AWS.)

  2. Na seção Política de chave, selecione Alternar para visualização de política.

  3. Selecione Editar.

  4. Defina o que alterar.

    • Para adicionar uma nova declaração, escolha Adicionar nova declaração. Em seguida, você pode selecionar as ações, os princípios e as condições para sua nova declaração de política principal a partir das opções listadas no painel do construtor de declarações ou inserir manualmente os elementos da declaração de política.

    • Para remover uma declaração da sua política de chaves, selecione a declaração e escolha Remover. Revise a declaração de política selecionada e confirme que você deseja removê-la. Se você decidir que não deseja continuar com a remoção da declaração, escolha Cancelar.

    • Para editar uma declaração de política chave existente, selecione a declaração. Em seguida, você pode usar o painel do construtor de instruções para escolher elementos específicos que deseja modificar ou editar manualmente a instrução.

  5. Escolha Salvar alterações.

Usando o AWS KMS API

Você pode usar a PutKeyPolicyoperação para alterar a política de chaves de uma KMS chave em seu Conta da AWS. Você não pode usar isso API em uma KMS chave diferente Conta da AWS.

  1. Use a GetKeyPolicyoperação para obter o documento de política de chaves existente e, em seguida, salve o documento de política de chaves em um arquivo. Para obter o código de exemplo em várias linguagens de programação, consulte Use GetKeyPolicy com um AWS SDK ou CLI.

  2. Abra o documento de política de chaves no editor de texto de sua preferência, edite-o e salve o arquivo.

  3. Use a PutKeyPolicyoperação para aplicar o documento de política de chaves atualizado à KMS chave. Para obter o código de exemplo em várias linguagens de programação, consulte Use PutKeyPolicy com um AWS SDK ou CLI.

Para ver um exemplo de como copiar uma política de chaves de uma KMS chave para outra, consulte o GetKeyPolicy exemplo na Referência de AWS CLI Comandos.