Autenticación y control de acceso de AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación y control de acceso de AWS KMS

El acceso a AWS KMS requiere credenciales que AWS puede utilizar para autenticar las solicitudes. Las credenciales deben tener permisos para obtener acceso a los recursos AWS, como claves maestras de cliente (CMK) de AWS KMS. En las siguientes secciones presentamos más detalles sobre cómo puede utilizarAWS Identity and Access Management(IAM) yAWS KMSPara ayudar a proteger sus recursos controlando quién puede obtener acceso a ellos.

Authentication

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Cuenta de AWS Usuario raíz— Cuando te inscribes enAWS, proporcione una dirección de correo electrónico y una contraseña para su Cuenta de AWS . Estas son las credenciales raíz y proporcionan acceso completo a todos los recursos de AWS.

    importante

    Por razones de seguridad, recomendamos que utilice las credenciales raíz solo para crear unaUsuario administrador, que es unaUsuario de IAMcon permisos completos a su Cuenta de AWS . Después, podrá utilizar este usuario administrador para crear otros usuarios y funciones de IAM con permisos limitados. Para obtener más información, consulte Crear usuarios de IAM individuales (prácticas recomendadas de IAM) y Creación de un grupo y usuario administrador en la Guía del usuario de IAM.

  • Usuario de IAM— UnUsuario de IAMes una identidad dentro de su Cuenta de AWS que tiene permisos específicos (por ejemplo, para usar una CMK). Puede utilizar un nombre de usuario y una contraseña de IAM para iniciar sesión en páginas web seguras de AWS tales como AWS Management Console, foros de discusión de AWS o el Centro de AWS Support.

    Además de un nombre de usuario y una contraseña, también puede crearclaves de accesopara cada usuario para permitir que el usuario acceda aAWSmediante programación, mediante el uso de unAWSSDK, elAWS Command Line Interface, o bienAWS Tools for PowerShell. Los SDK y las herramientas de la línea de comandos usan las claves de acceso para firmar criptográficamente las solicitudes de API. Si no utiliza las herramientas de AWS, debe firmar las solicitudes de la API. AWS KMS es compatible con Signature Version 4, un protocolo AWS para autenticar solicitudes de API. Para obtener más información acerca de la autenticación de solicitudes de API, consulteProceso de firma Signature Version 4en laAWSReferencia general de.

  • Rol de IAM— UnRol de IAMEs otra identidad de IAM que puede crear en su cuenta que tiene permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Un rol de IAM le permite obtener claves de acceso temporales para obtener accesoAWSservicios y recursos mediante programación. Los roles de IAM son útiles en las siguientes situaciones:

    • Acceso de usuarios federados— En lugar de crear un usuario de IAM, puede usar identidades de usuario preexistentes deAWS Directory Service, el directorio de usuarios de la compañía o un proveedor de identidades web. Esto se conoce como usuarios federados. Los usuarios federados usan roles de IAM mediante unaProveedor de identidades de. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

    • Acceso entre cuentas— Puede utilizar un rol de IAM en su Cuenta de AWS para permitir que otro Cuenta de AWS para acceder a los recursos de su cuenta. Para ver un ejemplo, consulte .Tutorial: Delegar el acceso entreAWSCuentas que utilizan roles de IAMen laIAM User Guide.

    • AWSAcceso a servicios de :: puede utilizar un rol de IAM en su cuenta para permitir que una cuenta deAWSPara obtener acceso a los recursos de su cuenta. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de S3 en su nombre y, a continuación, cargar los datos almacenados en el bucket de S3 en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a unaAWSService (Servicio)en laIAM User Guide.

    • Aplicaciones que se ejecutan en instancias EC2— en lugar de almacenar claves de acceso en la instancia EC2 para que las usen aplicaciones que se ejecutan en la instancia y que hacen queAWS, puede utilizar un rol de IAM para proporcionar claves de acceso temporales para estas aplicaciones. Para asignar una función de IAM a una instancia EC2, cree unaperfil de instanciay, a continuación, asócielo cuando lance la instancia. Un perfil de instancia contiene el rol y permite a las aplicaciones que se encuentran en ejecución en la instancia EC2 obtener claves de acceso temporales. Para obtener más información, consulte Uso de roles para aplicaciones en Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Puede tener credenciales válidas para autenticar las solicitudes, pero también necesita permisos para que las solicitudes de API de AWS KMS creen, administres o usen recursos de AWS KMS. Por ejemplo, debe disponer de permisos para crear una CMK, para administrar la CMK y utilizar la CMK paraoperaciones criptográficas.

En las páginas siguientes se describe cómo administrar los permisos de AWS KMS. Le recomendamos que lea primero la información general.

Si accede aAWS KMSA través de un punto de enlace de Amazon Virtual Private Cloud (Amazon VPC), también puede utilizar una política de puntos de enlace de VPC para limitar el acceso a suAWS KMScuando se utiliza el endpoint. Por ejemplo, cuando utilice el extremo de VPC, sólo puede permitir las entidades principales de su Cuenta de AWS para acceder a sus CMK. Para obtener más información, consulte Control del acceso a un punto de enlace de la VPC .