Prueba de los permisos - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prueba de los permisos

Para utilizar AWS KMS, debe tener credenciales que AWS pueda utilizar para autenticar las solicitudes a la API. Las credenciales deben incluir permisos para obtener acceso a las claves de KMS y alias. Los permisos vienen determinados por las políticas de claves, las políticas de IAM, las concesiones y los controles de acceso entre cuentas. Además de controlar el acceso a las claves de KMS, puede controlar el acceso a su CloudHSM y a los almacenes de claves personalizados.

Puede especificar el parámetro DryRun de la API para comprobar que dispone de los permisos necesarios para utilizar las claves de AWS KMS. También puede utilizar DryRun para comprobar que los parámetros de solicitud de una llamada a la API de AWS KMS estén especificados correctamente.

¿Cuál es el DryRun parámetro?

DryRun es un parámetro de API opcional que se especifica para comprobar que las llamadas a la API de AWS KMS se realizan correctamente. Use DryRun para probar la llamada a la API antes de hacer una llamada a AWS KMS. Puede comprobar lo siguiente:

  • Que cuenta con los permisos necesarios para utilizar las claves de AWS KMS.

  • Que ha especificado correctamente los parámetros de la llamada.

AWS KMS admite el uso del parámetro DryRun en determinadas acciones de la API:

El uso del parámetro DryRun generará cargos y se facturará como una solicitud a la API estándar. Para obtener más información sobre los precios de AWS KMS, consulte Precios de AWS Key Management Service.

Todas las solicitudes a la API que utilizan el parámetro DryRun se aplican a la cuota de solicitudes a la API y pueden dar lugar a una excepción de limitación si se supera una cuota de solicitudes a la API. Por ejemplo, llamar a Decrypt con DryRun o sin DryRun cuenta para la misma cuota de operaciones criptográficas. Consulte Limitación controlada de solicitudes AWS KMS para obtener más información.

Cada llamada a una operación de la API de AWS KMS se captura como un evento y se incluye en un registro de AWS CloudTrail. El resultado de cualquier operación que especifique el DryRun parámetro aparece en el CloudTrail registro. Para obtener más información, consulte Registro de llamadas a la API de AWS KMS con AWS CloudTrail.

Especificar DryRun con la API

Para usar DryRun, especifique el parámetro —dry-run en los comandos de la AWS CLI y las llamadas a la API de AWS KMS que admiten el parámetro. Cuando lo haga, AWS KMS comprobará si la llamada se ha realizado correctamente. Las llamadas a AWS KMS que utilicen DryRun siempre fallarán y devolverán un mensaje con información sobre el motivo por el que se produjo el error en la llamada. El mensaje puede incluir las siguientes excepciones:

  • DryRunOperationException: la solicitud se realizaría correctamente si DryRun no se especificara.

  • ValidationException: se produjo un error en la solicitud al especificar un parámetro de API incorrecto.

  • AccessDeniedException: no tiene permisos para realizar la acción de API especificada en el recurso de KMS.

Por ejemplo, el siguiente comando usa la CreateGrantoperación y crea una concesión que permite a los usuarios autorizados a asumir la keyUserRole función llamar a la operación de descifrado en una clave KMS simétrica específica. Se especifica el parámetro DryRun.

$ aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \ --operations Decrypt \ --dry-run