Consultar una política de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consultar una política de claves

Puedes ver la política de claves de una clave gestionada por el AWS KMS cliente o de una Clave administrada de AWSde tu cuenta mediante la GetKeyPolicyoperación AWS Management Console o de la AWS KMS API. No puede utilizar estas técnicas para ver la política de claves de una clave KMS en una cuenta de Cuenta de AWS distinta.

Para obtener más información sobre las políticas de claves de AWS KMS, consulte Políticas clave en AWS KMS. Para obtener información acerca de cómo determinar qué usuarios y roles tienen acceso a un clave KMS, consulte Determinar el acceso a AWS KMS keys.

Consultar una política de claves (consola)

Los usuarios autorizados pueden ver la política de claves para una Clave administrada de AWS o una clave administrada por el cliente en la pestaña Key policy (Política de claves) de la AWS Management Console.

Para ver la política clave de una clave de KMS enAWS Management Console, debes tener los GetKeyPolicy permisos kms: DescribeKey, kms: y kms:. ListAliases

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. Si desea ver las claves de su cuenta que AWS crea y administra, en el panel de navegación, elija claves administradas por AWS. Si desea ver las claves de la cuenta que usted crea y administra, en el panel de navegación, elija Customer managed keys (Claves administradas por el cliente).

  4. En la lista de claves KMS, elija el alias o ID de clave de la clave KMS que desea examinar.

  5. Seleccione la pestaña Key policy (Política de claves).

    En la pestaña Key policy (Política de claves), es posible que vea el documento de política de claves. Esta es la vista de política. En las declaraciones de políticas de claves, puede ver las entidades principales a las que la política de claves ha dado acceso a la clave KMS y las acciones que pueden realizar.

    En el ejemplo siguiente se muestra la vista de política de la política de claves predeterminada.

    Vista de la política de claves predeterminada en la vista de política de la consola de AWS KMS

    O bien, si ha creado la clave KMS en la AWS Management Console, verá la vista predeterminada con secciones para Key administrators (Administradores de claves), Key deletion (Eliminación de claves) y Key Users (Usuarios de claves). Para ver el documento de políticas de claves, elija Switch to policy view (Cambiar a la vista de política).

    En el ejemplo siguiente se muestra la vista predeterminada de la política de claves predeterminada.

    Vista de la política de claves predeterminada en la vista predeterminada de la consola de AWS KMS

Consultar una política de claves (API de AWS KMS)

Para obtener la política clave de una clave de KMS para Cuenta de AWS ti, usa la GetKeyPolicyoperación de la AWS KMS API. No puede utilizar esta operación para ver una política de claves en una cuenta distinta.

En el siguiente ejemplo, se usa el get-key-policycomando de AWS Command Line Interface (AWS CLI), pero puedes usar cualquier AWS SDK para realizar esta solicitud.

Tenga en cuenta que el parámetro PolicyName es obligatorio aunque default sea su único valor válido. Además, este comando solicita la salida en texto, en lugar de en JSON, para que sea más fácil de ver.

Antes de ejecutar este comando, reemplace el ID de clave de ejemplo por uno válido de su cuenta.

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

La respuesta debe ser similar a la siguiente, que devuelve la política de claves predeterminada.

{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }