Claves de condición, recursos y acciones de AWS Key Management Service - AWS Identity and Access Management

Claves de condición, recursos y acciones de AWS Key Management Service

AWS Key Management Service (servicio prefijo: kms) proporciona las siguientes claves de contexto de condiciones, recursos y acciones específicas del servicio para su uso en políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Key Management Service

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CancelKeyDeletion Controla el permiso para cancelar la eliminación programada de una clave maestra de cliente. Escritura

key*

kms:CallerAccount

kms:ViaService

ConnectCustomKeyStore Controla el permiso para conectar o volver a conectar un almacén de claves personalizado en el clúster de AWS CloudHSM que tiene asociado. Escritura
CreateAlias Controla el permiso para crear un alias para una clave maestra de cliente (CMK). Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves maestras del cliente. Escritura

alias*

key*

kms:CallerAccount

kms:ViaService

CreateCustomKeyStore Controla el permiso para crear un almacén de claves personalizadas asociado a un clúster de AWS CloudHSM de su propiedad y que administra. Escritura

cloudhsm:DescribeClusters

CreateGrant Controla el permiso para agregar una concesión a una clave maestra de cliente. Puede usar concesiones para añadir permisos sin cambiar la política de claves o la política de IAM. Administración de permisos

key*

kms:CallerAccount

kms:GrantConstraintType

kms:GrantIsForAWSResource

kms:ViaService

CreateKey Controla el permiso para crear una clave maestra de cliente que puede utilizarse para proteger claves de datos y otra información confidencial. Escritura

kms:BypassPolicyLockoutSafetyCheck

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

Decrypt Controla el permiso para descifrar el texto cifrado que se cifró con una clave maestra de cliente. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ViaService

DeleteAlias Controla el permiso para eliminar un alias. Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves maestras del cliente. Escritura

alias*

key*

kms:CallerAccount

kms:ViaService

DeleteCustomKeyStore Controla el permiso para eliminar un almacén de claves personalizadas. Escritura
DeleteImportedKeyMaterial Controla el permiso para eliminar el material criptográfico que importó a una clave maestra de cliente. Esta acción hace que la clave sea inservible. Escritura

key*

kms:CallerAccount

kms:ViaService

DescribeCustomKeyStores Controla el permiso para ver información detallada acerca de los almacenes de claves personalizadas de la cuenta y la región. Lectura
DescribeKey Controla el permiso para ver información detallada acerca de una clave maestra de cliente. Lectura

key*

kms:CallerAccount

kms:ViaService

DisableKey Controla el permiso para deshabilitar una clave maestra de cliente, lo que evita que se utilice en operaciones criptográficas. Escritura

key*

kms:CallerAccount

kms:ViaService

DisableKeyRotation Controla el permiso para deshabilitar la rotación automática de una clave maestra de cliente administrada por un cliente. Escritura

key*

kms:CallerAccount

kms:ViaService

DisconnectCustomKeyStore Controla el permiso para desconectar el almacén de claves personalizadas del clúster de AWS CloudHSM que tiene asociado. Escritura
EnableKey Controla el permiso para cambiar el estado de una clave maestra de cliente (CMK) a habilitada. Esto permite que la CMK se utilice en operaciones criptográficas. Escritura

key*

kms:CallerAccount

kms:ViaService

EnableKeyRotation Controla el permiso para habilitar la rotación automática del material criptográfico en una clave maestra de cliente. Escritura

key*

kms:CallerAccount

kms:ViaService

Encrypt Controla el permiso para utilizar la clave maestra de cliente especificada para cifrar datos y claves de datos. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKey Controla el permiso para usar la clave maestra de cliente para generar claves de datos. Puede utilizar las claves de datos para cifrar datos fuera de AWS KMS. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKeyPair Controla el permiso para usar la clave maestra de cliente para generar pares de claves de datos. Escritura

key*

kms:CallerAccount

kms:DataKeyPairSpec

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKeyPairWithoutPlaintext Controla el permiso para usar la clave maestra de cliente para generar pares de claves de datos. A diferencia de la operación GenerateDataKeyPair, esta operación devuelve una clave privada cifrada sin una copia de texto sin formato. Escritura

key*

kms:CallerAccount

kms:DataKeyPairSpec

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKeyWithoutPlaintext Controla el permiso para usar la clave maestra de cliente para generar una clave de datos. A diferencia de la operación GenerateDataKey, esta devuelve una clave de datos cifrada sin una versión de texto no cifrado de la clave de datos. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ViaService

GenerateRandom Controla el permiso para obtener una cadena de bytes aleatorios segura criptográficamente desde AWS KMS. Escritura
GetKeyPolicy Controla el permiso para ver la política de claves para la clave maestra de cliente especificada. Lectura

key*

kms:CallerAccount

kms:ViaService

GetKeyRotationStatus Controla el permiso para determinar si la rotación automática de claves está habilitada en la clave maestra de cliente. Lectura

key*

kms:CallerAccount

kms:ViaService

GetParametersForImport Controla el permiso para obtener datos necesarios para importar material criptográfico en una clave administrada por el cliente, incluida una clave pública y un token de importación. Lectura

key*

kms:CallerAccount

kms:ViaService

kms:WrappingAlgorithm

kms:WrappingKeySpec

GetPublicKey Controla el permiso para descargar la clave pública de una clave maestra de cliente asimétrica. Lectura

key*

kms:CallerAccount

kms:ViaService

ImportKeyMaterial Controla el permiso para importar material criptográfico en una clave maestra de cliente. Escritura

key*

kms:CallerAccount

kms:ExpirationModel

kms:ValidTo

kms:ViaService

ListAliases Controla el permiso para ver los alias definidos en la cuenta. Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves maestras del cliente. List
ListGrants Controla el permiso para ver todas las concesiones para una clave maestra de cliente. List

key*

kms:CallerAccount

kms:GrantIsForAWSResource

kms:ViaService

ListKeyPolicies Controla el permiso para ver los nombres de las políticas de claves para una clave maestra de cliente. List

key*

kms:CallerAccount

kms:ViaService

ListKeys Controla el permiso para ver el ID de clave y nombre de recurso de Amazon (ARN) de todas las claves maestras de cliente en la cuenta. List
ListResourceTags Controla el permiso para ver todas las etiquetas asociadas a una clave maestra de cliente. Lectura

key*

kms:CallerAccount

kms:ViaService

ListRetirableGrants Controla el permiso para ver concesiones en las que el principal especificado es el principal de retirada. Otros principales pueden retirar la concesión y este principal puede retirar otras concesiones. List

key*

PutKeyPolicy Controla el permiso para reemplazar la política de claves para la clave maestra de cliente especificada. Administración de permisos

key*

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:ViaService

ReEncryptFrom Controla el permiso para descifrar datos como parte del proceso que descifra y vuelve a cifrar los datos en AWS KMS. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ReEncryptOnSameKey

kms:ViaService

ReEncryptTo Controla el permiso para cifrar datos como parte del proceso que descifra y vuelve a cifrar los datos en AWS KMS. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContextKeys

kms:ReEncryptOnSameKey

kms:ViaService

RetireGrant Controla el permiso para retirar una concesión. El usuario de la concesión invoca normalmente la operación RetireGrant después de que se completen las tareas que la concesión permitía realizar. Administración de permisos

key*

RevokeGrant Controla el permiso para revocar una concesión, que deniega el permiso de todas las operaciones que dependen de la concesión. Administración de permisos

key*

kms:CallerAccount

kms:GrantIsForAWSResource

kms:ViaService

ScheduleKeyDeletion Controla el permiso para programar la eliminación de una clave maestra de cliente. Escritura

key*

kms:CallerAccount

kms:ViaService

Sign Controla el permiso para producir una firma digital para un mensaje. Escritura

key*

kms:CallerAccount

kms:MessageType

kms:SigningAlgorithm

kms:ViaService

TagResource Controla el permiso para crear o actualizar etiquetas asociadas a una clave maestra de cliente. Etiquetado

key*

kms:CallerAccount

kms:ViaService

UntagResource Controla el permiso para eliminar las etiquetas asociadas a una clave maestra de cliente. Etiquetado

key*

kms:CallerAccount

kms:ViaService

UpdateAlias Controla el permiso para asociar un alias a una clave maestra de cliente diferente. Un alias es un nombre sencillo opcional que se puede asociar a una clave maestra del cliente. Escritura

alias*

key*

kms:CallerAccount

kms:ViaService

UpdateCustomKeyStore Controla el permiso para cambiar las propiedades de un almacén de claves personalizadas. Escritura
UpdateKeyDescription Controla el permiso para eliminar o cambiar la descripción de una clave maestra de cliente. Escritura

key*

kms:CallerAccount

kms:ViaService

Verify Controla el permiso para usar la clave maestra del cliente especificada para verificar las firmas digitales. Escritura

key*

kms:CallerAccount

kms:MessageType

kms:SigningAlgorithm

kms:ViaService

Tipos de recurso definidos por AWS Key Management Service

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}
key arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

Claves de condición de AWS Key Management Service

AWS Key Management Service define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
kms:BypassPolicyLockoutSafetyCheck Controla el acceso a las operaciones CreateKey y PutKeyPolicy en función del valor del parámetro BypassPolicyLockoutSafetyCheck de la solicitud. Bool
kms:CallerAccount Controla el acceso a las operaciones especificadas de AWS KMS según el ID de cuenta de AWS del intermediario. Puede utilizar esta clave de condición para permitir o denegar el acceso a todos los roles y usuarios de IAM de una cuenta de AWS en una única instrucción de política. Cadena
kms:CustomerMasterKeySpec Controla el acceso a una operación de API basada en la propiedad CustomerMasterKeySpec de la CMK creada por o utilizada en la operación. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para un recurso CMK. Cadena
kms:CustomerMasterKeyUsage Controla el acceso a una operación de API basada en la propiedad KeyUsage de la CMK creada por o utilizada en la operación. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para un recurso CMK. Cadena
kms:DataKeyPairSpec Controla el acceso a las operaciones GeneratedAtaKeyPair y GeneratedAtaKeyPairWithoutPlainText en función del valor del parámetro DataKeyPairSpec de la solicitud. Cadena
kms:EncryptionAlgorithm Controla el acceso a las operaciones de cifrado en función del valor del algoritmo de cifrado en la solicitud. Cadena
kms:EncryptionContextKeys Controla el acceso en función de la presencia de claves especificadas en el contexto de cifrado. El contexto de cifrado es un elemento opcional en una operación criptográfica. Cadena
kms:ExpirationModel Controla el acceso a la operación ImportKeyMaterial en función del valor del parámetro ExpirationModel de la solicitud. Cadena
kms:GrantConstraintType Controla el acceso a la operación CreateGrant en función de la limitación de concesiones en la solicitud. Cadena
kms:GrantIsForAWSResource Controla el acceso a la operación CreateGrant cuando la solicitud proviene de un servicio de AWS especificado. Bool
kms:GrantOperations Controla el acceso a la operación CreateGrant en función de las operaciones de la concesión. Cadena
kms:GranteePrincipal Controla el acceso a la operación CreateGrant en función del principal beneficiario en la concesión. Cadena
kms:KeyOrigin Controla el acceso a una operación de API basada en la propiedad Origin de la CMK creada por o utilizada en la operación. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para un recurso CMK. Cadena
kms:MessageType Controla el acceso a las operaciones Sign y Verify en función del valor del parámetro MessageType de la solicitud. Cadena
kms:ReEncryptOnSameKey Controla el acceso a la operación ReEncrypt cuando utiliza la misma clave maestra del cliente que se utilizó para la operación Encrypt. Bool
kms:RetiringPrincipal Controla el acceso a la operación CreateGrant en función del principal de retirada en la concesión. Cadena
kms:SigningAlgorithm Controla el acceso a las operaciones Sign y Verify en función del algoritmo de firma de la solicitud. Cadena
kms:ValidTo Controla el acceso a la operación ImportKeyMaterial en función del valor del parámetro ValidTo de la solicitud. Puede utilizar esta clave de condición para permitir a los usuarios importar el material de claves solo cuando se alcance la fecha de expiración especificada. Numérico
kms:ViaService Controla el acceso cuando una solicitud realizada en nombre del principal proviene de un servicio de AWS especificado. Cadena
kms:WrappingAlgorithm Controla el acceso a la operación GetParametersForImport en función del valor del parámetro WrappingAlgorithm de la solicitud. Cadena
kms:WrappingKeySpec Controla el acceso a la operación GetParametersForImport en función del valor del parámetro WrappingKeySpec de la solicitud. Cadena