Control del acceso a alias - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a alias

Al crear o cambiar un alias, se afecta al alias y a su KMS clave asociada. Por lo tanto, los directores que administran los alias deben tener permiso para ejecutar la operación de alias en el alias y en todas las claves afectadasKMS. Puede proporcionar estos permisos mediante políticas, IAMpolíticas y concesiones clave.

nota

Tenga cuidado al dar permiso a las entidades principales para administrar etiquetas y alias. El cambio de etiqueta o alias puede permitir o denegar permiso a la clave administrada por el cliente. Para más detalles, consulte ABAC para AWS KMS y Uso de alias para controlar el acceso a las claves KMS.

Para obtener información sobre cómo controlar el acceso a todos AWS KMS operaciones, consulteReferencia de permisos.

Los permisos para crear y administrar alias funcionan de la siguiente manera.

kms: CreateAlias

Para crear un alias, el principal necesita los siguientes permisos tanto para el alias como para la KMS clave asociada.

  • kms:CreateAlias para el alias. Proporcione este permiso en una IAM política que se adjunte al director que tiene permiso para crear el alias.

    En la siguiente declaración de política de ejemplo se especifica un alias en particular en un elemento Resource. Sin embargo, puedes incluir varios alias ARNs o especificar un patrón de alias, como «test*». También puede especificar un valor Resource de "*" para permitir que la entidad principal cree cualquier alias en la cuenta y región. El permiso para crear un alias también se puede incluir en un permiso kms:Create* para todos los recursos de una cuenta y región.

    { "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:CreateAliaspara la KMS clave. Este permiso debe proporcionarse en una política clave o en una IAM política delegada de la política clave.

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:CreateAlias", "kms:DescribeKey" ], "Resource": "*" }

Puede usar claves condicionales para limitar las KMS claves que puede asociar a un alias. Por ejemplo, puede usar la clave de KeySpec condición kms: para permitir que el director cree alias únicamente en claves asimétricasKMS. Para obtener una lista completa de las claves de condiciones que puede usar para limitar el kms:CreateAlias permiso en los recursos KMS clave, consulte. AWS KMS permisos

km: ListAliases

Para incluir los alias de la cuenta y la región, el director debe tener el kms:ListAliases permiso establecido en una IAM política. Como esta política no está relacionada con ningún recurso de KMS clave o alias en particular, el valor del elemento de recurso de la política debe "*" estarlo.

Por ejemplo, la siguiente declaración IAM de política otorga al director permiso para enumerar todas KMS las claves y alias de la cuenta y la región.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }

kms: UpdateAlias

Para cambiar la KMS clave asociada a un alias, el director necesita tres elementos de permiso: uno para el alias, otro para la KMS clave actual y otro para la KMS clave nueva.

Por ejemplo, supongamos que desea cambiar el test-key alias de la KMS clave con el identificador de clave 1234abcd-12ab-34cd-56ef-1234567890ab a la KMS clave con el identificador de clave 0987dcba-09fe-87dc-65ba-ab0987654321. En ese caso, incluya declaraciones de política similares a las de los ejemplos de esta sección.

  • kms:UpdateAlias para el alias. Este permiso IAM se proporciona en una política que se adjunta al director. La siguiente IAM política especifica un alias concreto. Sin embargo, puede enumerar varios alias ARNs o especificar un patrón de alias, como"test*". También puede especificar un valor Resource de "*" para permitir que la entidad principal actualice cualquier alias en la cuenta y región.

    { "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:UpdateAlias", "kms:ListAliases", "kms:ListKeys" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:UpdateAliaspara la KMS clave que está asociada actualmente al alias. Este permiso debe proporcionarse en una política clave o en una IAM política delegada de la política clave.

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }
  • kms:UpdateAliaspara la KMS clave que la operación asocia al alias. Este permiso debe proporcionarse en una política clave o en una IAM política delegada de la política clave.

    { "Sid": "Key policy for 0987dcba-09fe-87dc-65ba-ab0987654321", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }

Puede usar claves condicionales para limitar una o ambas KMS claves de una UpdateAlias operación. Por ejemplo, puede usar una clave de ResourceAliases condición kms: para permitir que el director actualice los alias solo cuando la KMS clave de destino ya tenga un alias concreto. Para obtener una lista completa de las claves de condiciones que puede usar para limitar el kms:UpdateAlias permiso en un recurso KMS clave, consulteAWS KMS permisos.

km: DeleteAlias

Para eliminar un alias, el director necesita permiso para el alias y la KMS clave asociada.

Como siempre, debe tener precaución al dar permiso a las entidades principales para eliminar un recurso. Sin embargo, eliminar un alias no afecta a la KMS clave asociada. Aunque puede causar un error en una aplicación que se basa en el alias, si elimina un alias por error, puede volver a crearlo.

  • kms:DeleteAlias para el alias. Proporcione este permiso en una IAM política adjunta al director, quien tiene permiso para eliminar el alias.

    En la siguiente declaración de política de ejemplo se especifica el alias de un elemento Resource. Sin embargo, puede incluir varios alias ARNs o especificar un patrón de alias, por ejemplo"test*", también puede especificar un Resource valor de "*" para que el principal pueda eliminar cualquier alias de la cuenta y la región.

    { "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:DeleteAliaspara la KMS clave asociada. Este permiso debe proporcionarse en una política clave o en una IAM política delegada desde la política clave.

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/KMSAdminUser" }, "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias", "kms:DescribeKey" ], "Resource": "*" }

Limitar los permisos de alias

Puede usar claves de condición para limitar los permisos de alias cuando el recurso es una KMS clave. Por ejemplo, la siguiente IAM política permite las operaciones de alias en KMS las claves de una cuenta y región determinadas. Sin embargo, utiliza la clave de KeyOrigin condición kms: para limitar aún más los permisos a KMS las claves con material clave de AWS KMS.

Para obtener una lista completa de las claves de condiciones que puede usar para limitar el permiso de alias en un recurso KMS clave, consulteAWS KMS permisos.

{ "Sid": "IAMPolicyKeyPermissions", "Effect": "Allow", "Resource": "arn:aws:kms:us-west-2:111122223333:key/*", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Condition": { "StringEquals": { "kms:KeyOrigin": "AWS_KMS" } } }

No puede usar claves de condición en una declaración de política donde el recurso es un alias. Para limitar los alias que un director puede administrar, utilice el valor del Resource elemento de la declaración de IAM política que controla el acceso al alias. Por ejemplo, las siguientes declaraciones de política permiten al director crear, actualizar o eliminar cualquier alias del Cuenta de AWS y Región, a menos que el alias comience porRestricted.

{ "Sid": "IAMPolicyForAnAliasAllow", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/*" }, { "Sid": "IAMPolicyForAnAliasDeny", "Effect": "Deny", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/Restricted*" }