AWS política gestionada para usuarios avanzados - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS política gestionada para usuarios avanzados

Puedes usar la política AWSKeyManagementServicePowerUser administrada para conceder a IAM los directores de tu cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear KMS claves, usarlas y KMS administrarlas, y ver todas KMS las claves e IAM identidades. Los directores que tienen la política AWSKeyManagementServicePowerUser gestionada también pueden obtener permisos de otras fuentes, incluidas las políticas clave, otras IAM políticas y las subvenciones.

AWSKeyManagementServicePowerUseres un AWS IAMpolítica gestionada. Para obtener más información acerca de AWS políticas gestionadas, consulte AWS políticas gestionadas en la Guía IAM del usuario.

nota

Los permisos de esta política que son específicos de una KMS clave, como kms:TagResource ykms:GetKeyRotationStatus, solo entran en vigor cuando la política clave de esa KMS clave permite explícitamente la Cuenta de AWS usar IAM políticas para controlar el acceso a la clave. Para determinar si un permiso es específico de una KMS clave, consulte AWS KMS permisos y busque el valor de la KMSclave en la columna Recursos.

Esta política otorga a un usuario avanzado permisos sobre cualquier KMS clave con una política clave que permite la operación. En el caso de los permisos entre cuentas, como kms:DescribeKey ykms:ListGrants, esto puede incluir KMS claves que no sean de confianza Cuentas de AWS. Para obtener más información, consulte Mejores prácticas para IAM las políticas yPermitir a los usuarios de otras cuentas utilizar una clave KMS. Para determinar si un permiso es válido para las KMS claves de otras cuentas, consulta AWS KMS permisos y busca el valor en la columna Uso multicuenta.

Para permitir que los directores vean el AWS KMS sin errores, el director necesita la etiqueta: GetResources permiso, que no está incluida en la AWSKeyManagementServicePowerUser política. Puedes permitir este permiso en una IAM política independiente.

La IAM política AWSKeyManagementServicePowerUsergestionada incluye los siguientes permisos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }