Cambiar una política de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambiar una política de claves

Puede cambiar la política de claves por una KMS clave de su Cuenta de AWS mediante el uso de AWS Management Console o la PutKeyPolicyoperación. No puede utilizar estas técnicas para cambiar la política de clave de una KMS clave en otra Cuenta de AWS.

Cuando cambie una política de claves, tenga en cuenta las siguientes reglas:

  • Puede ver la política clave de un Clave administrada de AWSo una clave gestionada por el cliente, pero solo puede cambiar la política de claves por una clave gestionada por el cliente. Las políticas de Claves administradas por AWS son creadas y gestionadas por el AWS servicio que creó la KMS clave de tu cuenta. No puede ver ni cambiar la política clave de un Clave propiedad de AWS.

  • Puede añadir o eliminar IAM usuarios, IAM roles y Cuentas de AWS en la política clave y cambiar las acciones permitidas o denegadas para esos directores. Para obtener más información sobre las formas de especificar entidades principales y permisos en una política de claves, consulte Políticas de claves.

  • No puede agregar IAM grupos a una política clave, pero puede agregar varios IAM usuarios y IAM roles. Para obtener más información, consulte Permitir que varios IAM directores accedan a una clave KMS.

  • Si añades externos Cuentas de AWS a una política clave, también debes usar IAM políticas en las cuentas externas para conceder permisos a IAM los usuarios, grupos o roles en esas cuentas. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  • El documento de política de claves resultante no puede superar los 32 KB (32 768 bytes).

Cómo cambiar una política de claves

Puede cambiar una política de claves de tres formas diferentes, tal como se explica en las siguientes secciones.

Uso de AWS Management Console vista predeterminada

Puede utilizar la consola para cambiar una política de claves con una interfaz gráfica denominada la vista predeterminada.

Si estos pasos no se corresponden con lo que aparece en la consola, puede significar que la consola no ha creado esta política de claves. O bien que la política de claves se ha modificado de un modo que no admite la vista predeterminada de la consola. En ese caso, siga los pasos de Uso de AWS Management Console visión de políticas o Uso de AWS KMS API.

  1. Vea la política de claves para una clave administrada por el cliente tal y como se indica en Consultar una política de claves (consola). (No puede cambiar las políticas clave de Claves administradas por AWS.)

  2. Decida lo que desea cambiar.

    • Para añadir o eliminar administradores de claves y permitir o impedir que los administradores de claves eliminen la KMS clave, utilice los controles de la sección Administradores de claves de la página. Los administradores clave administran la KMS clave, lo que incluye habilitarla y deshabilitarla, establecer la política de claves y habilitar la rotación de claves.

    • Para añadir o eliminar usuarios clave y permitir o no permitir usuarios externos Cuentas de AWS para utilizar la KMS clave, utilice los controles de la sección Usuarios clave de la página. Los usuarios de KMS claves pueden utilizarla en operaciones criptográficas, como cifrar, descifrar, volver a cifrar y generar claves de datos.

Uso de AWS Management Console visión de políticas

Puede utilizar la consola para cambiar un documento de política de claves con la vista de políticas de la consola.

  1. Vea la política de claves para una clave administrada por el cliente tal y como se indica en Consultar una política de claves (consola). (No puede cambiar las políticas clave de Claves administradas por AWS.)

  2. En la sección Política de claves, elija Cambiar a la vista de política.

  3. Edite el documento de políticas de claves y, a continuación, elija Save changes (Guardar cambios).

Uso de AWS KMS API

Puede utilizar la PutKeyPolicyoperación para cambiar la política clave de una KMS clave de su Cuenta de AWS. No puedes usar esto API en una KMS clave diferente Cuenta de AWS.

  1. Utilice la GetKeyPolicyoperación para obtener el documento de política clave existente y, a continuación, guarde el documento de política clave en un archivo. Para obtener un código de ejemplo en varios lenguajes de programación, consulte GetKeyPolicyÚselo con un AWS SDKo CLI.

  2. Abra el documento de políticas de claves en el editor de textos que prefiera, edítelo y, a continuación, guarde el archivo.

  3. Utilice la PutKeyPolicyoperación para aplicar el documento de política clave actualizado a la KMS clave. Para obtener un código de ejemplo en varios lenguajes de programación, consulte PutKeyPolicyÚselo con un AWS SDKo CLI.

Para ver un ejemplo de cómo copiar una política clave de una KMS clave a otra, consulte el GetKeyPolicy ejemplo en la AWS CLI Referencia de comandos.

Permitir que varios IAM directores accedan a una clave KMS

IAMlos grupos no son principios válidos en una política clave. Para permitir que varios usuarios y roles accedan a una KMS clave, realice una de las siguientes acciones:

  • Utilice un IAM rol como principal en la política clave. Varios usuarios autorizados pueden asumir el rol según sea necesario. Para obtener más información, consulte IAMlas funciones en la Guía IAM del usuario.

    Si bien puede incluir varios IAM usuarios en una política clave, no se recomienda esta práctica porque requiere que actualice la política clave cada vez que cambie la lista de usuarios autorizados. Además, las prácticas IAM recomendadas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

  • Usa una IAM política para conceder permisos a un IAM grupo. Para ello, asegúrese de que la política clave incluya la declaración que permite a IAM las políticas permitir el acceso a la KMS clave, cree una IAM política que permita el acceso a la KMS clave y, a continuación, asocie esa política a un IAM grupo que contenga a IAM los usuarios autorizados. Con este enfoque, no es necesario cambiar ninguna política cuando cambie la lista de usuarios autorizados. En su lugar, solo tiene que añadir o eliminar esos usuarios del IAM grupo correspondiente. Para obtener más información, consulte los grupos de IAM usuarios en la Guía IAM del usuario

Para obtener más información sobre cómo AWS KMS las políticas y IAM políticas clave funcionan juntas, consulteSolución de problemas de acceso a las claves.