AWS KMS permisos - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS KMS permisos

Esta tabla está diseñada para ayudarle a entender AWS KMS los permisos para que pueda controlar el acceso a sus AWS KMS recursos. Las definiciones de los títulos de las columnas aparecen bajo la tabla.

También puede obtener información sobre AWS KMS los permisos en las claves de acciones, recursos y condición del AWS Key Management Service tema de la Referencia de autorización de servicios. Sin embargo, ese tema no enumera todas las claves de condición que puede utilizar para limitar cada permiso.

nota

Es posible que tenga que desplazarse en forma horizontal o vertical para ver todos los datos de la tabla.

Acciones y permisos Tipo de política Uso entre cuentas Recursos (para políticas de IAM) AWS KMS claves de condición

CancelKeyDeletion

kms:CancelKeyDeletion

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

Política de IAM No

*

km: CallerAccount

CreateAlias

kms:CreateAlias

Para utilizar esta operación, el intermediario necesita permiso kms:CreateAlias en dos recursos:

  • El alias (en una política de IAM)

  • La clave KMS (en una política de clave)

Para obtener más detalles, consulte Control del acceso a alias.

Política de IAM (para el alias)

No

Alias

Ninguno (cuando se controla el acceso al alias)

Política de claves (para la clave KMS)

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

Política de IAM No

*

km: CallerAccount

CreateGrant

kms:CreateGrant

Política de claves

Clave KMS

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones de concesión:

km: GrantConstraintType

km: GranteePrincipal

km: GrantIsFor AWSResource

km: GrantOperations

km: RetiringPrincipal

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

CreateKey

kms:CreateKey

Política de IAM

No

*

km: BypassPolicyLockoutSafetyCheck

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ViaService

aws:RequestTag/tag-key (clave de condición AWS global)

aws:ResourceTag/tag-key (clave de condición global)AWS

aws: TagKeys (clave de condición AWS global)

Decrypt

kms:Decrypt

Política de claves

Clave KMS

Condiciones para operaciones criptográficas

kms: EncryptionAlgorithm

km: RequestAlias

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

DeleteAlias

kms:DeleteAlias

Para utilizar esta operación, el intermediario necesita permiso kms:DeleteAlias en dos recursos:

  • El alias (en una política de IAM)

  • La clave KMS (en una política de clave)

Para obtener más detalles, consulte Control del acceso a alias.

Política de IAM (para el alias)

No

Alias

Ninguno (cuando se controla el acceso al alias)

Política de claves (para la clave KMS)

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

Política de IAM No

*

km: CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

DedriveSharedSecret

kms:DeriveSharedSecret

Política de claves Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Condiciones para operaciones criptográficas:

km: KeyAgreementAlgorithm

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

Política de IAM No

*

km: CallerAccount

DescribeKey

kms:DescribeKey

Política de claves

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: RequestAlias

DisableKey

kms:DisableKey

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

DisableKeyRotation

kms:DisableKeyRotation

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

Política de IAM No

*

km: CallerAccount

EnableKey

kms:EnableKey

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

EnableKeyRotation

kms:EnableKeyRotation

Política de claves

No

Clave KMS (solo simétrica)

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Condiciones de rotación automática de las teclas:

km: RotationPeriodInDays

Encrypt

kms:Encrypt

Política de claves

Clave KMS

Condiciones para operaciones criptográficas

km: EncryptionAlgorithm

km: RequestAlias

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GenerateDataKey

kms:GenerateDataKey

Política de claves

Clave KMS (solo simétrica)

Condiciones para operaciones criptográficas

km: EncryptionAlgorithm

km: RequestAlias

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

Política de claves

Clave KMS (solo simétrica)

Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.

Condiciones para pares de claves de datos:

km: DataKeyPairSpec

Condiciones para operaciones criptográficas

km: EncryptionAlgorithm

km: RequestAlias

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

Política de claves

Clave KMS (solo simétrica)

Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.

Condiciones para pares de claves de datos:

km: DataKeyPairSpec

Condiciones para operaciones criptográficas

km: EncryptionAlgorithm

km: RequestAlias

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

Política de claves

Clave KMS (solo simétrica)

Condiciones para operaciones criptográficas

km: EncryptionAlgorithm

km: RequestAlias

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GenerateMac

kms:GenerateMac

Política de claves Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Condiciones para operaciones criptográficas:

km: MacAlgorithm

km: RequestAlias

GenerateRandom

kms:GenerateRandom

Política de IAM

N/A

*

Ninguna

GetKeyPolicy

kms:GetKeyPolicy

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

Política de claves

Clave KMS (solo simétrica)

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GetParametersForImport

kms:GetParametersForImport

Política de claves

No

Clave KMS

km: WrappingAlgorithm

km: WrappingKeySpec

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

GetPublicKey

kms:GetPublicKey

Política de claves

Clave KMS (solo asimétrica)

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: ExpirationModel

km: ValidTo

ListAliases

kms:ListAliases

Política de IAM

No

*

Ninguna

ListGrants

kms:ListGrants

Política de claves

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: GrantIsFor AWSResource

ListKeyPolicies

kms:ListKeyPolicies

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

ListKeyRotations

kms:ListKeyRotations

Política de claves

No

Clave KMS (solo simétrica)

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

ListKeys

kms:ListKeys

Política de IAM

No

*

Ninguna

ListResourceTags

kms:ListResourceTags

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

ListRetirableGrants

kms:ListRetirableGrants

Política de IAM

La principal entidad especificada debe estar en la cuenta local, pero la operación devuelve concesiones en todas las cuentas.

*

Ninguna

PutKeyPolicy

kms:PutKeyPolicy

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

Para utilizar esta operación, la persona que llama necesita permiso en dos claves KMS:

  • kms:ReEncryptFrom en la clave KMS utilizada para descifrar

  • kms:ReEncryptTo en la clave KMS utilizada para cifrar

Política de claves

Clave KMS

Condiciones para operaciones criptográficas

km: EncryptionAlgorithm

km: RequestAlias

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

Para utilizar esta operación, la persona que llama necesita estos permisos:

  • kms:ReplicateKey en la clave principal de varias regiones

  • kms:CreateKey en una política de IAM en la región de réplica

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: ReplicaRegion

RetireGrant

kms:RetireGrant

El permiso para retirar una concesión se determina principalmente por la concesión. Una política por sí sola no puede permitir el acceso a esta operación. Para obtener más información, consulte Retiro y revocación de concesiones.

Política de IAM

(Este permiso no es efectivo en una política de clave.)

Clave KMS

Condiciones de contexto de cifrado:

kmsEncryptionContext: clave de contexto

kms: EncryptionContextKeys

Condiciones de concesión:

km: GrantConstraintType

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

RevokeGrant

kms:RevokeGrant

Política de claves

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones:

km: GrantIsFor AWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

Política de claves

No

Clave KMS (solo simétrica)

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Sign

kms:Sign

Política de claves

Clave KMS (solo asimétrica)

Condiciones para la firma y la verificación:

km: MessageType

km: RequestAlias

km: SigningAlgorithm

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

TagResource

kms:TagResource

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Condiciones para el etiquetado:

aws:RequestTag/tag-key (clave de condición AWS global)

aws: TagKeys (clave de condición AWS global)

UntagResource

kms:UntagResource

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

kms: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Condiciones para el etiquetado:

aws:RequestTag/tag-key (clave de condición AWS global)

aws: TagKeys (clave de condición AWS global)

UpdateAlias

kms:UpdateAlias

Para utilizar esta operación, el intermediario necesita permiso kms:UpdateAlias en tres recursos:

  • El alias

  • La clave KMS asociada actualmente

  • La clave KMS recién asociada

Para obtener más detalles, consulte Control del acceso a alias.

Política de IAM (para el alias)

No

Alias

Ninguno (cuando se controla el acceso al alias)

Política de claves (para las claves KMS)

No

Clave KMS

Condiciones para las operaciones clave KMS:

kms: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

Política de IAM No

*

km: CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

Para utilizar esta operación, la persona que llama necesita permiso kms:UpdatePrimaryRegion tanto en la clave principal de varias regiones que se convertirá en una clave de réplica como en la clave de réplica de varias regiones que se convertirá en la clave principal.

Política de claves

No

Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Otras condiciones

km: PrimaryRegion

Verificar

kms:Verify

Política de claves

Clave KMS (solo asimétrica)

Condiciones para la firma y la verificación:

km: MessageType

km: RequestAlias

km: SigningAlgorithm

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

VerifyMac

kms:VerifyMac

Política de claves Clave KMS

Condiciones para las operaciones clave KMS:

km: CallerAccount

km: KeySpec

km: KeyUsage

km: KeyOrigin

km: MultiRegion

km: MultiRegionKeyType

km: ResourceAliases

aws:ResourceTag/tag-key (clave de condición AWS global)

kms: ViaService

Condiciones para operaciones criptográficas:

km: MacAlgorithm

km: RequestAlias

Descripciones de las columnas

Las columnas de esta tabla proporcionan la siguiente información:

  • Acciones y permisos muestra cada operación de la AWS KMS API y el permiso que permite la operación. Especifique la operación en el elemento Action de una declaración de política.

  • Tipo de política indica si el permiso se puede utilizar en una política de claves o en una política de IAM.

    Política de claves significa que puede especificar el permiso en la política de claves. Cuando la política de claves contiene la declaración de política que permite las políticas de IAM, puede especificar el permiso en una política de IAM.

    La política de IAM significa que puede especificar el permiso solo en la política de IAM.

  • Uso entre cuentas muestra las operaciones que los usuarios autorizados pueden realizar en recursos de una Cuenta de AWS diferente.

    Un valor de Yes (Sí) significa que las entidades principales pueden realizar la operación en los recursos en una Cuenta de AWS diferente.

    Un valor de No significa que las principales entidades pueden realizar la operación solo en recursos en sus propios Cuenta de AWS.

    Si otorga a una entidad principal de una cuenta diferente un permiso que no se puede utilizar en un recurso entre cuentas, el permiso no será efectivo. Por ejemplo, si le das TagResource permiso a un director de una cuenta diferente para usar una clave de KMS en tu cuenta, sus intentos de etiquetar la clave de KMS en tu cuenta fallarán.

  • Recursos muestra los AWS KMS recursos a los que se aplican los permisos. AWS KMS admite dos tipos de recursos: una clave KMS y un alias. En una política de claves, el valor del elemento Resource es siempre *, lo que indica la clave KMS a la que está asociada la política de claves.

    Utilice los siguientes valores para representar un AWS KMS recurso en una política de IAM.

    Clave de KMS

    Cuando el recurso sea una clave KMS, utilice su ARN de clave. Para obtener ayuda, consulte Búsqueda del identificador y la clave ARN.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    Por ejemplo:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Alias

    Cuando el recurso sea un alias, utilice su ARN de alias. Para obtener ayuda, consulte Búsqueda del nombre y el alias ARN.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    Por ejemplo:

    arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

    * (asterisco)

    Cuando el permiso no se aplique a un recurso determinado (clave KMS o alias), utilice un asterisco (*).

    En una política de IAM para un AWS KMS permiso, un asterisco en el elemento indica todos los recursos (claves y alias de KMS). Resource AWS KMS También puedes usar un asterisco en el Resource elemento cuando el AWS KMS permiso no se aplique a ninguna clave o alias de KMS en concreto. Por ejemplo, al permitir o denegar el permiso kms:CreateKey o kms:ListKeys, puede establecer el elemento Resource en * o en una variación específica de la cuenta, como arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*.

  • AWS KMS las claves de condición enumeran las claves de AWS KMS condición que puede usar para controlar el acceso a la operación. Las condiciones se especifican en un elemento Condition de la política. Para obtener más información, consulte AWS KMS claves de condición. Esta columna también incluye las claves de condición AWS globales que son compatibles con todos los AWS servicios AWS KMS, pero no con todos ellos.