Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS política gestionada para usuarios avanzados
Puedes usar la política AWSKeyManagementServicePowerUser
administrada para conceder a IAM los directores de tu cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear KMS claves, usarlas y KMS administrarlas, y ver todas KMS las claves e IAM identidades. Los directores que tienen la política AWSKeyManagementServicePowerUser
gestionada también pueden obtener permisos de otras fuentes, incluidas las políticas clave, otras IAM políticas y las subvenciones.
AWSKeyManagementServicePowerUser
es un AWS IAMpolítica gestionada. Para obtener más información acerca de AWS políticas gestionadas, consulte AWS
políticas gestionadas en la Guía IAM del usuario.
nota
Los permisos de esta política que son específicos de una KMS clave, como kms:TagResource
ykms:GetKeyRotationStatus
, solo entran en vigor cuando la política clave de esa KMS clave permite explícitamente la Cuenta de AWS usar IAM políticas para controlar el acceso a la clave. Para determinar si un permiso es específico de una KMS clave, consulte AWS KMS permisos y busque el valor de la KMSclave en la columna Recursos.
Esta política otorga a un usuario avanzado permisos sobre cualquier KMS clave con una política clave que permite la operación. En el caso de los permisos entre cuentas, como kms:DescribeKey
ykms:ListGrants
, esto puede incluir KMS claves que no sean de confianza Cuentas de AWS. Para obtener más información, consulte Mejores prácticas para IAM las políticas yPermitir a los usuarios de otras cuentas utilizar una clave KMS. Para determinar si un permiso es válido para las KMS claves de otras cuentas, consulta AWS KMS permisos y busca el valor Sí en la columna Uso multicuenta.
Para permitir que los directores vean el AWS KMS sin errores, el director necesita la etiqueta: GetResources permiso, que no está incluida en la AWSKeyManagementServicePowerUser
política. Puedes permitir este permiso en una IAM política independiente.
La IAM política AWSKeyManagementServicePowerUser
-
Permite a los directores crear KMS claves. Como este proceso incluye la configuración de la política de claves, los usuarios avanzados pueden concederse a sí mismos y a otras personas permiso para usar y administrar las KMS claves que crean.
-
Permite a los directores crear y eliminar alias y etiquetas en todas las KMS claves. Al cambiar una etiqueta o un alias, se puede permitir o denegar el permiso para usar y administrar la KMS clave. Para obtener más información, consulte ABAC para AWS KMS.
-
Permite a los directores enumerar los IAM usuarios, los grupos y las funciones.
-
Esta política no permite que los directores usen o administren KMS claves que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las KMS claves, lo que puede permitirles o negarles el permiso para usar o administrar una KMS clave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }