KMSacceso y permisos clave - AWS Key Management Service
KMSpolíticas clave KMSsubvenciones clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

KMSacceso y permisos clave

Para poder AWS KMS utilizarlas, debe disponer de credenciales que AWS pueda utilizar para autenticar sus solicitudes. Las credenciales deben incluir permisos para acceder a AWS los recursos AWS KMS keys y alias. Ningún AWS director tiene permisos sobre una KMS clave a menos que ese permiso se otorgue de forma explícita y nunca se deniegue. No hay permisos implícitos o automáticos para usar o administrar una KMS clave.

Para controlar el acceso a sus KMS claves, puede utilizar los siguientes mecanismos de política.

  • Política clave: cada KMS clave tiene una política clave. Es el mecanismo principal para controlar el acceso a una KMS clave. Puede utilizar únicamente la política de claves para controlar el acceso, lo que significa que todo el alcance del acceso a la KMS clave se define en un único documento (la política de claves). Para obtener más información sobre el uso de políticas de claves, consulte Políticas de claves.

  • IAMpolíticas: puede utilizar IAM las políticas en combinación con la política clave y las concesiones para controlar el acceso a una KMS clave. Controlar el acceso de esta manera le permite administrar todos los permisos de sus IAM identidadesIAM. Para usar una IAM política que permita el acceso a una KMS clave, la política clave debe permitirlo explícitamente. Para obtener más información sobre el uso de IAM políticas, consulteIAMpolíticas.

  • Subvenciones: puede utilizar las subvenciones en combinación con la política o las IAM políticas clave para permitir el acceso a una KMS clave. Controlar el acceso de esta manera le permite permitir el acceso a la KMS clave en la política clave y permitir que las identidades deleguen su acceso a otras personas. Para obtener más información sobre cómo usar concesiones, consulte Subvenciones en AWS KMS.

KMSpolíticas clave

La forma principal de gestionar el acceso a AWS KMS los recursos es mediante políticas. Las políticas son documentos que describen qué entidades principales pueden acceder a qué recursos. Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (o IAMpolíticas) y las políticas asociadas a otros tipos de recursos se denominan políticas de recursos. AWS KMS las políticas de recursos para KMS las claves se denominan políticas clave.

Todas KMS las claves tienen una política clave. Si no proporciona una, AWS KMS crea una para usted. La política de claves predeterminada que se AWS KMS utiliza varía en función de si se crea la clave en la AWS KMS consola o se utiliza la AWS KMS API. Le recomendamos que edite la política de claves predeterminada para adaptarla a los requisitos de su organización en materia de permisos con privilegios mínimos.

Puede utilizar únicamente la política de claves para controlar el acceso si la clave y la IAM principal están en la misma AWS cuenta, lo que significa que todo el alcance del acceso a la KMS clave se define en un único documento (la política de claves). Sin embargo, cuando una persona que llama desde una cuenta debe acceder a una clave de otra cuenta, no puedes utilizar únicamente la política de claves para conceder el acceso. En el escenario de varias cuentas, se debe adjuntar una IAM política al usuario o rol de la persona que llama que permita explícitamente a la persona que llama realizar la llamada. API

También puedes usar IAM políticas en combinación con políticas y concesiones clave para controlar el acceso a una clave. KMS Para usar una IAM política para controlar el acceso a una KMS clave, la política clave debe dar permiso a la cuenta para usar IAM las políticas. Puede especificar una declaración de política clave que habilite IAM las políticas o puede especificar explícitamente los principios permitidos en la política clave.

Al redactar políticas, asegúrese de tener controles estrictos que restrinjan quién puede realizar las siguientes acciones:

  • Actualice, cree IAM y elimine las políticas KMS clave

  • Adjunte y separe IAM políticas de usuarios, roles y grupos

  • Adjunte y separe las políticas KMS clave de sus llaves KMS

KMSsubvenciones clave

Además de las IAM políticas clave, AWS KMS apoya las subvenciones. Las subvenciones proporcionan una forma flexible y eficaz de delegar permisos. Puedes usar las concesiones para conceder acceso KMS clave con un plazo limitado a IAM los directores de tu AWS cuenta o de otras AWS cuentas. Te recomendamos que otorgues un acceso de duración determinada si no conoces los nombres de los principales en el momento de crear las políticas o si los directores que requieren acceso cambian con frecuencia. El principal concesionario puede estar en la misma cuenta que la KMS clave o en una cuenta diferente. Si el principal y la KMS clave están en cuentas diferentes, debes especificar una IAM política además de la subvención. Las subvenciones requieren una administración adicional, ya que debe llamar API a un para crear la subvención y retirarla o revocarla cuando ya no sea necesaria.

En los siguientes temas se proporciona información sobre cómo puede utilizar AWS Identity and Access Management (IAM) y AWS KMS los permisos para proteger sus recursos controlando quién puede acceder a ellos.