Política administrada por AWS para usuarios avanzados - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Política administrada por AWS para usuarios avanzados

Puede utilizar la política administrada de AWSKeyManagementServicePowerUser para dar a las entidades principales de IAM en su cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear claves KMS, usar y administrar las claves KMS que crean y ver todas las claves KMS e identidades de IAM. Las entidades principales que tienen la política administrada AWSKeyManagementServicePowerUser también pueden obtener permisos de otras fuentes, incluidas las políticas de claves, otras políticas de IAM y las concesiones.

AWSKeyManagementServicePowerUser es una política de IAM administrada de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

nota

Los permisos de esta política que son específicos para una clave KMS, como kms:TagResource y kms:GetKeyRotationStatus, solo son efectivos cuando la política de la clave para esa clave KMS permite explícitamente que la Cuenta de AWS utilice las políticas de IAM para controlar el acceso a la clave. Para determinar si un permiso es específico para una clave KMS, consulte AWS KMS permisos y busque un valor de clave KMS en la columna Resources (Recursos).

Esta política proporciona al usuario avanzado permisos sobre cualquier clave KMS con una política de claves que permita la operación. En el caso de los permisos entre cuentas, como kms:DescribeKey y kms:ListGrants, esto podría incluir las claves KMS en Cuentas de AWS no confiables. Para más detalles, consulte Prácticas recomendadas para las políticas de IAM y Permitir a los usuarios de otras cuentas utilizar una clave KMS. Para determinar si un permiso es válido en las claves KMS de otras cuentas, consulte AWS KMS permisos y busque un valor Yes (Sí) en la columna Cross-account use (Uso entre cuentas).

Para que los directores puedan ver la AWS KMS consola sin errores, el director necesita la etiqueta: GetResources permission, que no está incluida en la AWSKeyManagementServicePowerUser política. Puede autorizar este permiso en una política de IAM independiente.

La política de IAM administrada AWSKeyManagementServicePower debe incluir los siguientes permisos.

  • Permite a las entidades principales crear claves KMS. Dado que este proceso incluye la configuración de la política de claves, los usuarios avanzados pueden concederse a sí mismos y a otros, permisos para usar y administrar las claves KMS que crean.

  • Permite a las entidades principales crear y eliminar alias y etiquetas en todas las claves KMS. Si cambia una etiqueta o un alias, puede permitir o denegar el permiso para usar y administrar la clave KMS. Para obtener más detalles, consulte ABAC para AWS KMS.

  • Permite a las entidades principales obtener información detallada sobre todas las claves KMS, incluyendo su ARN clave, configuración criptográfica, política de claves, alias, etiquetas y estado de rotación.

  • Permite a las entidades principales enumerar usuarios, grupos y roles de IAM.

  • Esta política no permite a las entidades principales utilizar o administrar claves KMS que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las claves KMS, lo que podría permitirles o denegarles el permiso para utilizar o administrar una clave KMS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }