Cambio de una política de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambio de una política de claves

Puede cambiar la política de claves de una KMS clave Cuenta de AWS suya mediante la PutKeyPolicyoperación AWS Management Console o. No puede utilizar estas técnicas para cambiar la política clave de una KMS clave por otra diferente Cuenta de AWS.

Cuando cambie una política de claves, tenga en cuenta las siguientes reglas:

  • Puede ver la política de claves para una Clave administrada de AWS o una clave administrada por el cliente, pero solo puede cambiar la política de claves para una clave KMS administrada por el cliente. Claves administradas por AWS Las políticas de las crea y administra el AWS servicio que creó la KMS clave de su cuenta. No puede ver ni modificar la política de claves de una Clave propiedad de AWS.

  • Puede añadir o eliminar IAM usuarios, IAM funciones y Cuentas de AWS en la política clave, así como cambiar las acciones que se permiten o deniegan a esos directores. Para obtener más información sobre las formas de especificar entidades principales y permisos en una política de claves, consulte Políticas de claves.

  • No puede agregar IAM grupos a una política clave, pero puede agregar varios IAM usuarios y IAM roles. Para obtener más información, consulte Permitir que varios IAM directores accedan a una clave KMS.

  • Si agrega políticas externas Cuentas de AWS a una política clave, también debe usar IAM políticas en las cuentas externas para conceder permisos a IAM los usuarios, grupos o roles en esas cuentas. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  • El documento de política de claves resultante no puede superar los 32 KB (32 768 bytes).

Cómo cambiar una política de claves

Puede cambiar una política de claves de tres formas diferentes, tal como se explica en las siguientes secciones.

Usar la vista predeterminada de la AWS Management Console

Puede utilizar la consola para cambiar una política de claves con una interfaz gráfica denominada la vista predeterminada.

Si estos pasos no se corresponden con lo que aparece en la consola, puede significar que la consola no ha creado esta política de claves. O bien que la política de claves se ha modificado de un modo que no admite la vista predeterminada de la consola. En ese caso, siga los pasos de Uso de la vista de políticas AWS Management Console o Usando el AWS KMS API.

  1. Vea la política de claves para una clave administrada por el cliente tal y como se indica en Mediante la consola de AWS KMS. (No puede cambiar las políticas clave de Claves administradas por AWS.)

  2. Decida lo que desea cambiar.

    • Para añadir o eliminar administradores de claves y permitir o impedir que los administradores de claves eliminen la KMS clave, utilice los controles de la sección Administradores de claves de la página. Los administradores clave administran la KMS clave, lo que incluye habilitarla y deshabilitarla, establecer la política de claves y habilitar la rotación de claves.

    • Para añadir o eliminar usuarios clave y permitir o impedir que un usuario externo Cuentas de AWS utilice la KMS clave, utilice los controles de la sección Usuarios clave de la página. Los usuarios clave pueden utilizar la KMS clave en operaciones criptográficas, como cifrar, descifrar, volver a cifrar y generar claves de datos.

Uso de la vista de políticas AWS Management Console

Puede utilizar la consola para cambiar un documento de política de claves con la vista de políticas de la consola.

  1. Vea la política de claves para una clave administrada por el cliente tal y como se indica en Mediante la consola de AWS KMS. (No puede cambiar las políticas clave de Claves administradas por AWS.)

  2. En la sección Política de claves, elija Cambiar a la vista de política.

  3. Elija Editar.

  4. Decida lo que desea cambiar.

    • Para agregar una nueva declaración, elija Agregar nueva declaración. A continuación, puede seleccionar las acciones, los principios y las condiciones de su nueva declaración de política clave entre las opciones que se muestran en el panel del creador de declaraciones, o bien introducir manualmente los elementos de la declaración de política.

    • Para eliminar una declaración de su política clave, selecciónela y, a continuación, elija Eliminar. Revise la declaración de política seleccionada y confirme que desea eliminarla. Si decide que no desea continuar con la eliminación de la declaración, seleccione Cancelar.

    • Para editar una declaración de política clave existente, selecciónela. A continuación, puede utilizar el panel generador de declaraciones para elegir los elementos específicos que desee modificar o editar manualmente la declaración.

  5. Elija Guardar cambios.

Usando el AWS KMS API

Puede utilizar la PutKeyPolicyoperación para cambiar la política de claves de una KMS clave de su Cuenta de AWS. No puede usar esto API en una KMS clave diferente Cuenta de AWS.

  1. Utilice la GetKeyPolicyoperación para obtener el documento de política clave existente y, a continuación, guarde el documento de política clave en un archivo. Para obtener un código de ejemplo en varios lenguajes de programación, consulte GetKeyPolicyÚselo con una AWS SDK o CLI.

  2. Abra el documento de políticas de claves en el editor de textos que prefiera, edítelo y, a continuación, guarde el archivo.

  3. Utilice la PutKeyPolicyoperación para aplicar el documento de política clave actualizado a la KMS clave. Para obtener un código de ejemplo en varios lenguajes de programación, consulte PutKeyPolicyÚselo con una AWS SDK o CLI.

Para ver un ejemplo de cómo copiar una política clave de una KMS clave a otra, consulte el GetKeyPolicy ejemplo en la Referencia de AWS CLI comandos.