Uso de las políticas de claves en AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de las políticas de claves en AWS KMS

Las políticas de claves de son la forma principal de controlar el acceso a las claves principales de cliente (CMK) en AWS KMS. Cada CMK debe tener exactamente una política de claves. Las declaraciones en el documento de políticas de claves determinan quién tiene permiso para usar la CMK y cómo debe usar dicho permiso. También puede utilizarPolíticas de IAMyConcesiónPara controlar el acceso a la CMK, pero cada CMK debe tener una política de claves. Para obtener más información, consulte Administrar el acceso a las CMK de AWS KMS.

Para obtener ayuda sobre cómo escribir y dar formato a un documento de directiva JSON, consulte laReferencia de políticas JSON de IAMen laGuía del usuario de IAM.

Información general de las políticas de claves

Cada clave maestra de cliente (CMK) debe tener exactamente una política de claves. Esta directiva de clave controla el acceso solo a su CMK asociado, junto con las políticas y subvenciones de IAM. A diferencia de las políticas de IAM, que son globales, las políticas clave son Regionales. Cada política clave es efectiva sólo en la región que aloja el CMK.

Una política clave se implementa comoJSON (notación de objetos JavaScript)documento de hasta32 KB(32 768 bytes). Puede crear y administrar políticas clave en la consola de AWS KMS o mediante operaciones de la API de AWS KMS, comoCreateKeyyPutKeyPolicy.

Los documentos de políticas de claves utilizan la misma sintaxis JSON que otros documentos de políticas de AWS y tienen la siguiente estructura básica:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "statement identifier", "Effect": "effect", "Principal": "principal", "Action": "action", "Resource": "resource", "Condition": {"condition operator": {"condition context key": "context key value"}} }] }

Para obtener información sobre el uso de la vista predeterminada de la consola para las políticas de claves, consultePolítica de claves predeterminadayCambiar una política de claves. Para obtener ayuda sobre cómo escribir y dar formato a un documento de directiva JSON, consulte laReferencia de políticas JSON de IAMen laGuía del usuario de IAM.

Un documento de política de claves debe tener un elemento Version. Recomendamos configurar la versión en 2012-10-17 (la última versión). Además, un documento de políticas de claves debe tener una o varias declaraciones, y cada una de ellas se compone de un máximo de seis elementos:

  • Sid— (opcional) el Sid es un identificador de instrucción, una cadena arbitraria que puede utilizar para identificar la declaración.

  • Effect— (obligatorio) el efecto especifica si desea permitir o denegar los permisos en la declaración de política. El efecto debe ser Permitir o Denegar. Si no permite el acceso de forma explícita a una CMK, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a una CMK. Puede hacer esto para asegurarse de que un usuario no pueda tener acceso a ella, aunque otra política le permita el acceso.

  • Principal— (Obligatorio)principalEs la identidad que obtiene los permisos especificados en la instrucción de la política. Puede especificar cuentas de AWS (raíz), usuarios de IAM, roles de IAM y algunos servicios de AWS como entidades principales en una política de claves. Los grupos de IAM no son entidades principales válidas.

    Cuando el principal es otra cuenta de AWS o sus principales, los permisos sólo son efectivos cuando la cuenta está habilitada en la región con la política de clave y CMK. Para obtener información acerca de las regiones que no están habilitadas de forma predeterminada («Regiones opt-in»), consulteAdministración de regiones de AWSen laReferencia general de AWS.

    nota

    No establezca el Principal en un asterisco (*) en ninguna instrucción de directiva de clave que permita permisos a menos que utilice condiciones para limitar la directiva de clave. Un asterisco otorga permiso a todas las identidades de cada cuenta de AWS para utilizar el CMK, a menos que otra declaración de política lo deniegue explícitamente. Los usuarios de otras cuentas de AWS solo necesitan los permisos de IAM correspondientes en sus propias cuentas para utilizar el CMK.

  • Acción— (obligatorio) las acciones especifican las operaciones de la API que se permitirán o denegarán. Por ejemplo, elkms:Encryptcorresponde a la acción de AWS KMSEncrypt. Puede enumerar varias acciones en una declaración de política. Para obtener más información, consulte Referencia de permisos de la API de AWS KMS.

  • Recurso— (obligatorio) En una política de claves, el valor del elemento Resource es"*", que significa «este CMK». El asterisco ("*") identifica la CMK a la que está asociada la política de claves.

  • Condición— (opcional) las condiciones especifican requisitos que deben cumplirse para que se aplique una política de claves. Con las condiciones, AWS puede evaluar el contexto de una solicitud de la API para determinar si se aplica la declaración de política. Para obtener más información, consulte Usar condiciones de política.

Para obtener más información acerca de la sintaxis de la política de AWS, consulteReferencia de políticas de AWS IAMen laGuía del usuario de IAM.

Política de claves predeterminada

Política de claves predeterminada al crear una CMK mediante programación

Al crear una CMK mediante programación, es decir, con laAPI DE AWS KMS(incluso a través delAWS SDKyHerramientas de línea de comando de): tiene la opción de proporcionar la directiva clave para el nuevo CMK. Si no proporcionan una, AWS KMS la crea automáticamente. Esta política de claves predeterminada incluye una declaración de política que concede a la cuenta de AWS (usuario raíz) propietaria de la CMK acceso total a ella y permite que las políticas de IAM de la cuenta concedan acceso a la CMK. Para obtener más información sobre esta declaración de política, consulte Permite el acceso a la cuenta de AWS y habilita las políticas de IAM.

Política de claves predeterminada al crear una CMK con la consola de administración de AWS

Cuandocrear un CMK con AWS Management ConsolePuede elegir los usuarios de IAM, las funciones de IAM y las cuentas de AWS a los que se ha concedido acceso a la CMK. Los usuarios, los roles y las cuentas que elija se agregan a una política de claves predeterminada que la consola crea automáticamente. Con la consola, puede utilizar la vista predeterminada para ver o modificar esta política de claves, o puede trabajar con el documento de políticas de claves directamente. La política de claves predeterminada que ha creado la consola permite los siguientes permisos, cada uno de los cuales se explica en la sección correspondiente.

Permisos

Permite el acceso a la cuenta de AWS y habilita las políticas de IAM

La política de claves predeterminada ofrece a la cuenta de AWS (usuario raíz) propietaria de la CMK acceso total a la CMK, que lleva a cabo las dos siguientes tareas.

1. Reduce el riesgo de la CMK deje de poder administrarse.

No puede eliminar el usuario raíz de la cuenta de AWS, por lo que permitir el acceso a este usuario reduce el riesgo de que la CMK deje de poder administrarse. Considere esta situación:

  1. Una política clave de CMK permiteSoloUna usuaria de IAM, Alice, para administrar la CMK. Esta política de claves no permite el acceso al usuario raíz.

  2. Alguien elimina el usuario de IAM Alice.

En este caso, la CMK no se puede administrar y debePóngase en contacto con AWSPara recuperar el acceso a la CMK. El usuario raíz no tiene acceso a la CMK, ya que puede obtener acceso a una CMK solo cuando la política de claves lo permita de forma explícita. Esto es diferente de la mayoría de los recursos de AWS, que, de forma implícita, permite el acceso al usuario raíz.

2. Permite que las políticas de IAM controlen el acceso a la CMK.

Cada CMK debe tener una política de claves. También puede utilizar directivas de IAM para controlar el acceso a un CMK, pero sólo si la directiva de clave lo permite. Si la directiva de clave no lo permite, las directivas de IAM que intentan controlar el acceso a un CMK son ineficaces.

Para permitir que las políticas de IAM controlen el acceso a una CMK, la política de claves debe incluir una declaración de política que proporcione a la cuenta de AWS acceso total a la CMK, como la siguiente. Para obtener más información, consulte Administrar el acceso a las CMK de AWS KMS.

En el siguiente ejemplo se muestra la declaración de política que ofrece a una cuenta de AWS acceso total a una CMK. Esta declaración de política permite a la cuenta utilizar políticas de IAM, junto con políticas de claves, para controlar el acceso a la CMK.

Una declaración de política como esta es parte de la política de claves predeterminada.

{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }

Permite que los administradores de claves administren la CMK

La política de claves predeterminada creada por la consola le permite elegir usuarios y roles de IAM de la cuenta y convertirlos enadministradores clave. Los administradores de claves tienen permisos para administrar la CMK, pero no para utilizar la CMK en operaciones criptográficas.

aviso

Dado que los administradores de claves tienen permiso para cambiar la directiva de claves y crear subvenciones, pueden concederse permisos de AWS KMS no especificados en esta directiva.

Los principales que tienen permiso para administrar etiquetas y alias también pueden controlar el acceso a un CMK. Para obtener más información, consulte Uso de ABAC para AWS KMS.

Puede añadir usuarios y funciones de IAM a la lista de administradores de claves al crear la CMK. También puede editar la lista con la vista predeterminada de la consola para las políticas de claves, tal como se muestra en la siguiente imagen. La vista predeterminada de las políticas de claves está disponible en la página de detalles de clave de cada CMK.


          Administradores de claves en la política de claves predeterminada de la consola, vista predeterminada

Al utilizar la vista predeterminada de la consola para modificar la lista de administradores de claves, la consola modifica el elemento Principal en una declaración concreta en la política de claves. Esta declaración se denomina la declaración de los administradores de claves. En el siguiente ejemplo se muestra la declaración de los administradores de claves.

{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KMSAdminUser", "arn:aws:iam::111122223333:role/KMSAdminRole" ]}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }

La declaración de los administradores de claves permite los permisos siguientes:

  • KMS:crear*— Permite a los administradores de claves crear alias yConcesiónPara esta CMK.

  • KMS:Describir*: permite a los administradores de claves obtener información sobre esta CMK, incluidos sus identificadores, fecha de creación, estado y mucho más. Este permiso es necesario para ver la página de detalles de clave en la AWS Management Console.

  • KMS: activar*: permite a los administradores de claves definir el estado de esta CMK en habilitado. Para las CMK simétricas, permite a los administradores de claves especificar la rotación anual del material de claves de la CMK.

  • KMS: lista*: permite a los administradores de claves obtener listas de alias, concesiones, políticas de claves y etiquetas de esta CMK. Este permiso es necesario para ver la lista de CMK en la AWS Management Console.

  • KMS: Putar*: permite a los administradores de claves cambiar la política de claves de esta CMK.

  • KMS: actualización*: permite a los administradores de claves cambiar el destino de un alias a esta CMK y cambiar la descripción de esta CMK.

  • KMS: revocar*: permite a los administradores de claves revocar los permisos de esta CMK que están autorizados mediante unaconcesión.

  • KMS: desactivable*: permite a los administradores de claves definir el estado de claves de esta CMK en deshabilitado. Para las CMK simétricas, permite a los administradores de claves deshabilitar la rotación anual del material de claves de esta CMK.

  • KMS:GET*: permite a los administradores de claves obtener la política de claves para esta CMK y determinar si el material de claves de esta CMK debe rotar anualmente. Para las CMK simétricas con material de claves importado, también permite a los administradores de claves descargar el token de importación y la clave pública que necesitan para importar material de claves en la CMK. Para las CMK asimétricas, permite a los administradores clave descargar la clave pública de la CMK.

  • KMS:eliminar*: permite a los administradores de claves eliminar un alias asociado a esta CMK. Para las CMK simétricas con material de claves importado, permite al administrador de claves eliminar el material de claves importado. Tenga en cuenta que este permiso no permite a los administradores de claves eliminar la CMK.

  • KMS: ImportkeyMaterial: permite a los administradores de claves importar material de claves en la CMK. Este permiso solo se incluye en la política de claves cuando crea una CMK sin material de claves.

    nota

    Este permiso no se muestra en la declaración de política de ejemplo anterior.

  • kms:TagResource: permite a los administradores de claves agregar y actualizar las etiquetas de esta CMK.

  • kms:UntagResource: permite a los administradores de claves eliminar etiquetas de esta CMK.

  • kms:scheduleKeydeletion— Permite que los administradores de clavesEliminar esta CMK.

  • kms:cancelkeydeletion: permite a los administradores de claves cancelar la eliminación pendiente de esta CMK.

Los dos últimos permisos de la lista anterior, kms:ScheduleKeyDeletion y kms:CancelKeyDeletion, se incluyen de forma predeterminada al crear una CMK. No obstante, puede eliminarlos de la política de claves al crear una CMK desmarcando la casilla situada junto a Allow key administrators to delete this key. De la misma forma, puede utilizar la página de detalles de clave para eliminarlos de la política de claves predeterminada de las CMK existentes. Para obtener más información, consulte Editar claves.

Muchos de estos permisos contienen el carácter comodín (*). Esto significa que si AWS KMS agrega nuevas operaciones de la API en el futuro, a los administradores de claves se les permitirá automáticamente llevar a cabo todas las operaciones de la API nuevas que comienzan con Create, Describe, Enable, List, Put, Update, Revoke, Disable, Get o Delete.

nota

La declaración de administradores de claves descrita en la sección anterior es la última versión de la política de claves predeterminada. Para obtener más información sobre versiones anteriores de la política de claves predeterminada, consulte Actualizar las políticas de claves.

Permite a los usuarios de claves utilizar la CMK

La política de claves predeterminada que la consola crea para las CMK simétricas le permite elegir usuarios y roles de IAM de la cuenta y de las cuentas de AWS externas, y convertirlos enusuarios clave.

La consola agrega dos declaraciones de política a la política de claves para los usuarios de claves.

Puede añadir usuarios de IAM, roles de IAM y otras cuentas de AWS a la lista de usuarios de claves al crear la CMK. También puede editar la lista con la vista predeterminada de la consola para las políticas de claves, tal como se muestra en la siguiente imagen. La vista predeterminada de las políticas de claves está disponible en la página de detalles de clave. Para obtener más información acerca de cómo permitir a los usuarios de otras cuentas de AWS utilizar la CMK, consultePermitir a los usuarios de otras cuentas utilizar una CMK.


          Usuarios de claves en la política de claves predeterminada de la consola, vista predeterminada

Al utilizar la vista predeterminada de la consola para cambiar la lista de usuarios de claves, la consola cambia el elemento Principal en dos declaraciones en la política de claves. Estas declaraciones se denominan declaraciones de usuarios de claves. En los siguientes ejemplos se muestran las declaraciones de usuarios de claves para las CMK simétricas.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }

Permite a los usuarios de claves utilizar una CMK para las operaciones criptográficas

Los usuarios de claves tienen permiso para usar la CMK directamente en todas las operaciones criptográficas admitidas en la CMK. También pueden utilizar laDescribeKeyPara obtener información detallada sobre la CMK en la consola de AWS KMS o mediante las operaciones de la API de AWS KMS.

De forma predeterminada, la consola de AWS KMS agrega declaraciones de usuarios de claves como las de los ejemplos siguientes a la política de claves predeterminada. Debido a que son compatibles con diferentes operaciones de la API, las acciones en las declaraciones de la política para las CMK simétricas, CMK asimétricas para el cifrado de claves público y las CMK asimétricas para la firma y la verificación son ligeramente diferentes.

CMK simétricas

La consola agrega la siguiente declaración a la política clave para CMK simétricas.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/CMKUser"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" }
CMK asimétricas para el cifrado de claves públicas

La consola agrega la siguiente declaración a la política clave para CMK asimétricas con un uso de claves de Encrypt and decrypt (Cifrar y descifrar).

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/CMKUser" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" }
CMK asimétricas para la firma y la verificación

La consola agrega la siguiente declaración a la política clave para CMK asimétricas con un uso de claves de Sign and verify (Firmar y verificar).

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/CMKUser"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" }

Las acciones de estas declaraciones proporcionan a los usuarios de clave algunos de los siguientes permisos.

  • kms:Encrypt: permite a los usuarios de claves cifrar datos con esta CMK.

  • kms:Decrypt: permite a los usuarios de claves descifrar datos con esta CMK.

  • kms:DescribeKey: permite a los usuarios de claves obtener información detallada sobre esta CMK, incluidos sus identificadores, fecha de creación y estado de clave. También permite a los usuarios de claves mostrar detalles sobre la CMK en la consola de AWS KMS.

  • KMS: GenerateDataKey*: permite a los usuarios clave solicitar una clave de datos simétrica o un key pair de datos asimétricos para operaciones criptográficas del lado del cliente. La consola utiliza el carácter comodín * para representar el permiso para las siguientes operaciones de la API: GenerateDataKey,GenerateDataKeyWithoutPlaintext,GenerateDataKeyPair, yGenerateDataKeyPairWithoutPlaintext.

  • KMS:GetPublicKey: permite a los usuarios de claves descargar la clave pública de la CMK asimétrica. Las partes con las que comparte esta clave pública pueden cifrar datos fuera de AWS KMS. Sin embargo, esos textos cifrados solo se pueden descifrar llamando a laDecryptLa operación en AWS KMS.

  • KMS:volver a cifrar*: permite a los usuarios de claves volver a cifrar los datos que se habían cifrado originalmente con esta CMK o utilizar esta CMK para volver a cifrar los datos cifrados anteriormente. La operación ReEncrypt precisa acceso al destino y al origen de las CMK. Para lograr esto, puede permitir los permisos kms:ReEncryptFrom en la CMK de origen y kms:ReEncryptTo en la CMK de destino. Sin embargo, para simplificar, la consola permite kms:ReEncrypt* (con el carácter comodín *) en ambas CMK.

  • KMS:firmar: permite a los usuarios de claves firmar mensajes con esta CMK.

  • KMS:comprobar: permite a los usuarios de claves verificar las firmas con esta CMK.

Permite a los usuarios de claves utilizar la CMK con los servicios de AWS

La política de claves predeterminada en la consola también otorga permiso a los usuarios de claves para permitir queLos servicios de AWS integrados con AWS KMSpara utilizar el CMK, en particular los servicios que utilizan subvenciones.

Los usuarios de claves pueden conceder implícitamente estos permisos de servicios para utilizar la CMK de formas específicas y limitadas. Esta delegación implícita se lleva a cabo mediante concesiones. Estas concesiones permiten que el servicio de AWS integrado utilice la CMK para proteger los recursos de la cuenta.

{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/CMKUser"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }

Por ejemplo, los usuarios de claves pueden utilizar estos permisos en la CMK de las siguientes maneras.

  • Utilice esta CMK con Amazon Elastic Block Store (Amazon EBS) y Amazon Elastic Compute Cloud (Amazon EC2) para adjuntar un volumen de EBS cifrado a una instancia EC2. El usuario de claves concede implícitamente a Amazon EC2 permiso para utilizar la CMK con el fin de adjuntar el volumen cifrado a la instancia. Para obtener más información, consulte Cómo utiliza Amazon Elastic Block Store (Amazon EBS).

  • Utilice esta CMK con Amazon Redshift para lanzar un clúster cifrado. El usuario de claves concede implícitamente a Amazon Redshift permiso para utilizar la CMK con el fin de lanzar el clúster cifrado y crear snapshots cifrados. Para obtener más información, consulte Cómo utiliza Amazon Redshift AWS KMS.

  • Utilice este CMK con otrosServicios de AWS integrados con AWS KMSPara crear, administrar o usar recursos cifrados con dichos servicios, en particular los servicios que utilizan concesiones, para crear, administrar o usar recursos cifrados con dichos servicios.

Lakms:GrantIsForAWSResourceLa clave de condición permite a los usuarios de claves crear y administrar concesiones, pero solo cuando el beneficiario sea un servicio de AWS que utiliza concesiones. El permiso permite a los usuarios de claves utilizar todos los servicios integrados que utilizan concesiones. No obstante, puede crear una política de claves personalizada que permita que determinados servicios de AWS usen la CMK en nombre del usuario. Para obtener más información, consulte la clave de condición kms:ViaService.

Los usuarios de claves necesitan estos permisos de concesiones para utilizar la CMK con los servicios integrados, pero estos permisos no son suficientes. Los usuarios de claves también necesitan permiso para utilizar los servicios integrados. Para obtener información sobre cómo conceder a los usuarios acceso a un servicio de AWS que se integra con AWS KMS, consulte la documentación del servicio integrado.

Política de claves de ejemplo

En el siguiente ejemplo se muestra una política de claves completa para una CMK simétrica. Esta política de claves combina los ejemplos de declaraciones de política de la sección política de claves predeterminada anterior en una sola política de claves que lleva a cabo lo siguiente:

  • Concede a la cuenta de AWS (usuario raíz) 111122223333 acceso total a la CMK y, por lo tanto, habilita las políticas de IAM en la cuenta para permitir el acceso a la CMK.

  • Permite que el usuario KMSAdminUser de IAM y la función KMSAdminRole de IAM administren la CMK.

  • Permite que el usuario CMKUser de IAM, la función CMKRole de IAM y la cuenta de AWS 444455556666 usen la CMK.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-2", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KMSAdminUser", "arn:aws:iam::111122223333:role/KMSAdminRole" ]}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

En la siguiente imagen se muestra un ejemplo del aspecto de esta política de claves cuando se consulta con la vista predeterminada de la consola para las políticas de claves.


        Política de claves en la vista predeterminada de la consola para las políticas de claves