Uso de políticas de IAM con AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas de IAM con AWS KMS

Puedes usar las políticas de IAM, junto con las políticas clave, las subvenciones y las políticas de puntos finales de VPC, para controlar el acceso a AWS KMS keys tu entrada. AWS KMS

nota

Para utilizar una política de IAM a fin de controlar el acceso a una clave KMS, la política de claves de la clave KMS debe conceder permiso a la cuenta para utilizar políticas de IAM. En concreto, la política de claves debe incluir la declaración de política que habilita las políticas de IAM.

En esta sección, se explica cómo utilizar las políticas de IAM para controlar el acceso a las operaciones. AWS KMS Para obtener más información sobre IAM, consulte la Guía del usuario de IAM.

Todas las claves KMS deben tener una política de claves. Las políticas de IAM son opcionales. Para utilizar una política de IAM a fin de controlar el acceso a una clave KMS, la política de claves de la clave KMS debe conceder permiso a la cuenta para utilizar políticas de IAM. En concreto, la política de claves debe incluir la declaración de política que habilita las políticas de IAM.

Las políticas de IAM pueden controlar el acceso a cualquier AWS KMS operación. A diferencia de las políticas clave, las políticas de IAM pueden controlar el acceso a varias claves de KMS y proporcionar permisos para las operaciones de varios servicios relacionados AWS . Sin embargo, las políticas de IAM son especialmente útiles para controlar el acceso a las operaciones CreateKey, por ejemplo, que no pueden controlarse mediante una política clave porque no implican ninguna clave de KMS en particular.

Si accede a AWS KMS través de un punto de enlace de Amazon Virtual Private Cloud (Amazon VPC), también puede utilizar una política de punto de enlace de VPC para limitar el acceso a sus AWS KMS recursos cuando utilice el punto de enlace. Por ejemplo, cuando utilices el punto final de la VPC, es posible que solo permitas que los principales de tu cuenta accedan Cuenta de AWS a las claves gestionadas por el cliente. Para obtener más detalles, consulte Control del acceso a un punto de conexión de VPC.

Para obtener ayuda sobre cómo escribir y dar formato a un documento de política JSON, consulte la Referencia de políticas JSON de IAM en la Guía del usuario de IAM.