Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS política gestionada para usuarios avanzados
Puede utilizar la política administrada de AWSKeyManagementServicePowerUser para dar a las entidades principales de IAM en su cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear claves KMS, usar y administrar las claves KMS que crean y ver todas las claves KMS e identidades de IAM. Las entidades principales que tienen la política administrada AWSKeyManagementServicePowerUser también pueden obtener permisos de otras fuentes, incluidas las políticas de claves, otras políticas de IAM y las concesiones.
AWSKeyManagementServicePowerUseres una política de IAM AWS gestionada. Para obtener más información sobre las políticas AWS gestionadas, consulte las políticas AWS
gestionadas en la Guía del usuario de IAM.
nota
Los permisos de esta política que son específicos de una clave de KMS, como kms:TagResource ykms:GetKeyRotationStatus, solo entran en vigor cuando la política clave de esa clave de KMS permite explícitamente el Cuenta de AWS uso de políticas de IAM para controlar el acceso a la clave. Para determinar si un permiso es específico para una clave KMS, consulte AWS KMS permisos y busque un valor de clave KMS en la columna Resources (Recursos).
Esta política proporciona al usuario avanzado permisos sobre cualquier clave KMS con una política de claves que permita la operación. En el caso de los permisos entre cuentas, como kms:DescribeKey y kms:ListGrants, esto podría incluir las claves KMS en Cuentas de AWS no confiables. Para más detalles, consulte Prácticas recomendadas para las políticas de IAM y Permitir a los usuarios de otras cuentas utilizar una clave KMS. Para determinar si un permiso es válido en las claves KMS de otras cuentas, consulte AWS KMS permisos y busque un valor Yes (Sí) en la columna Cross-account use (Uso entre cuentas).
Para que los directores puedan ver la AWS KMS consola sin errores, el director necesita la etiqueta: GetResources permission, que no está incluida en la AWSKeyManagementServicePowerUser política. Puede autorizar este permiso en una política de IAM independiente.
La política de IAM AWSKeyManagementServicePowerUser
-
Permite a las entidades principales crear claves KMS. Dado que este proceso incluye la configuración de la política de claves, los usuarios avanzados pueden concederse a sí mismos y a otros permisos para usar y administrar las claves KMS que crean.
-
Permite a las entidades principales crear y eliminar alias y etiquetas en todas las claves KMS. Si cambia una etiqueta o un alias, puede permitir o denegar el permiso para usar y administrar la clave KMS. Para obtener más detalles, consulte ABAC para AWS KMS.
-
Permite a las entidades principales obtener información detallada sobre todas las claves KMS, incluyendo su ARN clave, configuración criptográfica, política de claves, alias, etiquetas y estado de rotación.
-
Permite a las entidades principales enumerar usuarios, grupos y roles de IAM.
-
Esta política no permite a las entidades principales utilizar o administrar claves KMS que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las claves KMS, lo que podría permitirles o denegarles el permiso para utilizar o administrar una clave KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
