Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de políticas de IAM con AWS KMS
Puede usar políticas de IAM, junto con políticas de claves, concesiones y políticas de punto de enlace de la VPC para controlar el acceso a su AWS KMS keys en AWS KMS.
nota
Para utilizar una política de IAM a fin de controlar el acceso a una clave KMS, la política de claves de la clave KMS debe conceder permiso a la cuenta para utilizar políticas de IAM. En concreto, la política de claves debe incluir la declaración de política que habilita las políticas de IAM.
En esta sección se explica cómo utilizar las políticas de IAM para controlar el acceso a las operaciones de AWS KMS. Para obtener más información sobre IAM, consulte la Guía del usuario de IAM.
Todas las claves KMS deben tener una política de claves. Las políticas de IAM son opcionales. Para utilizar una política de IAM a fin de controlar el acceso a una clave KMS, la política de claves de la clave KMS debe conceder permiso a la cuenta para utilizar políticas de IAM. En concreto, la política de claves debe incluir la declaración de política que habilita las políticas de IAM.
Las políticas de IAM pueden controlar el acceso a cualquier operación de AWS KMS. A diferencia de las políticas de claves, las políticas de IAM pueden controlar el acceso a varias claves KMS y proporcionar permisos para las operaciones de varios servicios de AWS relacionados. Sin embargo, las políticas de IAM son particularmente útiles para controlar el acceso a las operaciones CreateKey, por ejemplo, que no pueden controlarse mediante una política clave porque no implican ninguna clave de KMS en particular.
Si accede a AWS KMS a través de un punto de enlace de Amazon Virtual Private Cloud (Amazon VPC), también puede utilizar una política de punto de enlace de la VPC para limitar el acceso a sus recursos de AWS KMS cuando se utiliza el punto de enlace. Por ejemplo, cuando utilice el punto de enlace de la VPC, solo puede permitir las entidades principales de su Cuenta de AWS accedan a las claves administradas por el cliente. Para obtener más detalles, consulte Control del acceso a un punto de conexión de VPC.
Para obtener ayuda sobre cómo escribir y dar formato a un documento de política JSON, consulte la Referencia de políticas JSON de IAM en la Guía del usuario de IAM.
Temas
