Control del acceso a las claves KMS HMAC - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a las claves KMS HMAC

Para controlar el acceso a una clave KMS HMAC, utilice una política de claves, necesaria para cada clave KMS. También puede utilizar políticas de IAM y concesiones.

La política de claves predeterminada para claves HMAC creadas en la consola AWS KMS da permiso a los usuarios de claves para llamar a GenerateMac y VerifyMac. Sin embargo, no incluye la declaración de política de claves diseñada para utilizar concesiones con servicios de AWS. Si crea claves HMAC mediante la operación CreateKey, debe especificar estos permisos en la política de claves o en una política de IAM.

Puede usar claves de condición globales de AWS y claves de condición de AWS KMS para refinar y limitar los permisos a las claves HMAC. Por ejemplo, puede utilizar la clave de condición kms:ResourceAliases para controlar el acceso a las operaciones de AWS KMS basadas en los alias asociados a una clave HMAC. Las siguientes condiciones de política de AWS KMS son útiles para las políticas de claves HMAC.

  • Use una clave de condición kms:MacAlgorithm para limitar los algoritmos que las entidades principales pueden solicitar cuando llaman al GenerateMac y VerifyMac. Por ejemplo, puede permitir a las entidades principales llamar a las operaciones GenerateMac pero solo cuando el algoritmo MAC de la solicitud es HMAC_SHA_384.

  • Use una clave de condición kms:KeySpec para permitir o impedir que las entidades principales creen ciertos tipos de claves HMAC. Por ejemplo, para permitir que los directores creen solo claves HMAC, puede permitir la CreateKeyoperación, pero usar la kms:KeySpec condición para permitir solo claves con una especificación HMAC_384 clave.

    También puede utilizar la clave de condición kms:KeySpec para controlar el acceso a otras operaciones de una clave KMS en función de la especificación de la clave. Por ejemplo, puede permitir que las entidades principales programen y cancelen la eliminación de claves solo en claves KMS con una especificación de la clave HMAC_256.

  • Use la clave de condición kms:KeyUsage para permitir o impedir que las entidades principales creen claves HMAC. Por ejemplo, para permitir que los directores creen solo claves HMAC, puede permitir la CreateKeyoperación, pero usar la kms:KeyUsage condición para permitir solo las claves con un uso de clave. GENERATE_VERIFY_MAC

    También puede utilizar la clave de condición kms:KeyUsage para controlar el acceso a las operaciones de una clave KMS en función del uso de la clave. Por ejemplo, puede permitir a las entidades principales habilitar y desactivar solo en claves KMS con un uso de claves GENERATE_VERIFY_MAC.

También puede crear concesiones para operaciones GenerateMac y VerifyMac, que son operaciones de concesión. Sin embargo, no puede utilizar las restricciones de concesiones de contexto de cifrado en una concesión para una clave HMAC. El formato de etiqueta HMAC no admite valores de contexto de cifrado.