Uso de IAM políticas con AWS KMS - AWS Key Management Service
Permitir que varios IAM directores accedan a una clave KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de IAM políticas con AWS KMS

Puedes usar IAM políticas, junto con las políticas clave, las subvenciones y las políticas de VPCpuntos finales, para controlar el acceso a tu AWS KMS keys entrada. AWS KMS

nota

Para usar una IAM política para controlar el acceso a una KMS clave, la política clave de la KMS clave debe dar permiso a la cuenta para usar IAM las políticas. En concreto, la política de claves debe incluir la instrucción de política que habilita las políticas de IAM.

En esta sección se explica cómo usar IAM las políticas para controlar el acceso a AWS KMS las operaciones. Para obtener más información general al respectoIAM, consulte la Guía IAM del usuario.

Todas KMS las claves deben tener una política de claves. IAMlas políticas son opcionales. Para usar una IAM política para controlar el acceso a una KMS clave, la política clave de la KMS clave debe dar permiso a la cuenta para usar IAM las políticas. En concreto, la política de claves debe incluir la instrucción de política que habilita las políticas de IAM.

IAMlas políticas pueden controlar el acceso a cualquier AWS KMS operación. A diferencia de las IAM políticas clave, las políticas pueden controlar el acceso a varias KMS claves y proporcionar permisos para las operaciones de varios AWS servicios relacionados. Sin embargo, IAM las políticas son especialmente útiles para controlar el acceso a las operaciones CreateKey, por ejemplo, que una política clave no puede controlar porque no implica ninguna KMS clave en particular.

Si accede a AWS KMS través de un punto de conexión de Amazon Virtual Private Cloud (AmazonVPC), también puede utilizar una política de VPC punto final para limitar el acceso a sus AWS KMS recursos cuando utilice el punto de enlace. Por ejemplo, cuando utilices el VPC punto final, es posible que solo permitas que los principales usuarios accedan Cuenta de AWS a tus claves gestionadas por el cliente. Para obtener más información, consulte las políticas de VPC puntos finales.

Para obtener ayuda sobre la redacción y el formato JSON de un documento de IAMJSONpolítica, consulte la referencia de políticas en la Guía del IAM usuario.

Puede las políticas de IAM de las siguientes formas:

  • Adjunta una política de permisos a un rol para los permisos de federación o multicuenta: puedes adjuntar una IAM política a un IAM rol para habilitar la federación de identidades, permitir los permisos entre cuentas o conceder permisos a las aplicaciones que se ejecutan en EC2 las instancias. Para obtener más información sobre los distintos casos de uso de los IAM roles, consulta los IAMroles en la Guía del IAMusuario.

  • Asociar una política de permisos a un usuario o grupo: puede adjuntar una política que permita a un usuario o grupo de usuarios llamar a las operaciones de AWS KMS . Sin embargo, las prácticas IAM recomendadas recomiendan utilizar identidades con credenciales temporales, como IAM los roles, siempre que sea posible.

El siguiente ejemplo muestra una IAM política con AWS KMS permisos. Esta política permite que las IAM identidades a las que está asociada enumeren todas KMS las claves y alias.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases"
    ],
    "Resource": "*"
  }
}

Al igual que todas las políticas de IAM, esta política no tiene ningún elemento Principal. Al adjuntar una IAM política a una IAM identidad, esa identidad obtiene los permisos especificados en la política.

Para ver una tabla que muestre todas las AWS KMS API acciones y los recursos a los que se aplican, consulta laReferencia de permisos.

Permitir que varios IAM directores accedan a una clave KMS

Los grupos de IAM no son entidades principales válidas en una política de claves. Para permitir que varios usuarios y roles accedan a una KMS clave, realice una de las siguientes acciones:

  • Utilice un IAM rol como principal en la política clave. Varios usuarios autorizados pueden asumir el rol según sea necesario. Para obtener más información, consulte IAMlas funciones en la Guía IAM del usuario.

    Si bien puede incluir varios IAM usuarios en una política clave, no se recomienda esta práctica porque requiere que actualice la política clave cada vez que cambie la lista de usuarios autorizados. Además, las prácticas IAM recomendadas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

  • Usa una IAM política para conceder permisos a un IAM grupo. Para ello, asegúrese de que la política clave incluya la declaración que permite a IAM las políticas permitir el acceso a la KMS clave, cree una IAM política que permita el acceso a la KMS clave y, a continuación, asocie esa política a un IAM grupo que contenga a IAM los usuarios autorizados. Con este enfoque, no es necesario cambiar ninguna política cuando cambie la lista de usuarios autorizados. En su lugar, solo debe agregar o eliminar dichos usuarios del grupo de IAM apropiado. Para obtener más información, consulte los grupos de IAM usuarios en la Guía IAM del usuario

Para obtener más información sobre cómo funcionan juntas las IAM políticas y políticas AWS KMS clave, consulteSolución de problemas de permisos de AWS KMS.