As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Testar suas permissões
<a name="testing-permissions"></a>

Para usar AWS KMS, você precisa ter credenciais que AWS possam ser usadas para autenticar suas solicitações de API. As credenciais devem incluir permissões para acessar chaves KMS e aliases. As permissões são determinadas pelas política de chave, políticas do IAM, concessões e controles de acesso entre contas. Além de controlar o acesso às chaves KMS, é possível controlar o acesso ao seu CloudHSM e aos seus repositórios de chaves personalizados.

É possível especificar o parâmetro da API `DryRun` para verificar se você tem as permissões necessárias para usar as chaves do AWS KMS . Você também pode usar `DryRun` para verificar se os parâmetros de solicitação em uma chamada de AWS KMS API estão especificados corretamente. 

**Topics**
+ [Qual é o DryRun parâmetro?](#what-is-dryrun)
+ [Especificando DryRun com a API](#dryrun-api)

## Qual é o DryRun parâmetro?
<a name="what-is-dryrun"></a>

 `DryRun` é um parâmetro de API opcional que você especifica para verificar se as chamadas da API do AWS KMS serão bem-sucedidas. Use `DryRun` para testar sua chamada de API, antes de realmente fazer a chamada para o AWS KMS. É possível verificar o seguinte: 
+ Que você tem as permissões necessárias para usar as chaves do AWS KMS .
+ Que você especificou os parâmetros na chamada corretamente.

AWS KMS suporta o uso do `DryRun` parâmetro em determinadas ações da API: 
+ [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
+ [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)
+ [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)
+ [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)
+ [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
+ [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)
+ [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)
+ [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
+ [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)
+ [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)
+ [Verificar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html)
+ [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)

O uso do parâmetro `DryRun` incorrerá em cobranças e será cobrado como uma solicitação de API padrão. Para obter mais informações sobre AWS KMS preços, consulte [AWS Key Management Service Preços](https://aws.amazon.com/kms/pricing/).

 Todas as solicitações de API que usam o parâmetro `DryRun` se aplicam à cota de solicitações da API e podem resultar em uma exceção de controle de utilização se você exceder a cota de solicitação da API. Por exemplo, chamar [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) com `DryRun` ou sem `DryRun` conta na mesma cota de operações criptográficas. Para saber mais, consulte [Solicitações de AWS KMS limitação](throttling.md).

Cada chamada para uma operação de AWS KMS API é capturada como um evento e registrada em um AWS CloudTrail registro. A saída de qualquer operação que especifique o `DryRun` parâmetro aparece no seu CloudTrail registro. Para obter mais informações, consulte [Registrando chamadas de AWS KMS API com AWS CloudTrail](logging-using-cloudtrail.md).

## Especificando DryRun com a API
<a name="dryrun-api"></a>

Para usar`DryRun`, especifique o `—dry-run` parâmetro em AWS CLI comandos e chamadas de AWS KMS API compatíveis com o parâmetro. Ao fazer isso, AWS KMS verificará se sua chamada será bem-sucedida. AWS KMS as chamadas usadas sempre falharão e `DryRun` retornarão uma mensagem com informações sobre o motivo pelo qual a chamada falhou. A mensagem pode incluir as seguintes exceções:
+ `DryRunOperationException` ‐ A solicitação seria bem-sucedida se `DryRun` não estivesse especificada. 
+ `ValidationException` ‐ A solicitação falhou devido à especificação de um parâmetro de API incorreto.
+ `AccessDeniedException` ‐ Você não tem permissões para realizar a ação de API especificada no recurso KMS.

Por exemplo, o comando a seguir usa a [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação e cria uma concessão que permite que os usuários autorizados a assumir a `keyUserRole` função chamem a operação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) em uma chave KMS [simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) especificada. O parâmetro `DryRun` está especificado.

```
$  aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
    --operations Decrypt \
    --dry-run
```