Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prueba de los permisos
Para poder AWS KMS utilizarlas, debes tener credenciales que AWS puedas utilizar para autenticar tus solicitudes de API. Las credenciales deben incluir permisos para obtener acceso a las claves de KMS y alias. Los permisos vienen determinados por las políticas de claves, las políticas de IAM, las concesiones y los controles de acceso entre cuentas. Además de controlar el acceso a las claves de KMS, puede controlar el acceso a su CloudHSM y a los almacenes de claves personalizados.
Puede especificar el parámetro DryRun
de la API para comprobar que dispone de los permisos necesarios para utilizar las claves de AWS KMS
. También puedes utilizarlas DryRun
para comprobar que los parámetros de la solicitud en una llamada a la AWS KMS API estén especificados correctamente.
¿Cuál es el DryRun parámetro?
DryRun
es un parámetro de API opcional que se especifica para comprobar que las llamadas a la API de AWS KMS
se realizan correctamente. Use DryRun
para probar la llamada a la API antes de hacer una llamada a AWS KMS. Puede comprobar lo siguiente:
-
Que cuenta con los permisos necesarios para utilizar las claves de AWS KMS .
-
Que ha especificado correctamente los parámetros de la llamada.
AWS KMS admite el uso del DryRun
parámetro en determinadas acciones de la API:
El uso del parámetro DryRun
generará cargos y se facturará como una solicitud a la API estándar. Para obtener más información sobre AWS KMS los precios, consulta AWS Key Management Service Precios
Todas las solicitudes a la API que utilizan el parámetro DryRun
se aplican a la cuota de solicitudes a la API y pueden dar lugar a una excepción de limitación si se supera una cuota de solicitudes a la API. Por ejemplo, llamar a Decrypt con DryRun
o sin DryRun
cuenta para la misma cuota de operaciones criptográficas. Consulte Limitar las solicitudes AWS KMS para obtener más información.
Cada llamada a una operación de AWS KMS API se captura como un evento y se registra en un AWS CloudTrail registro. El resultado de cualquier operación que especifique el DryRun
parámetro aparece en el CloudTrail registro. Para obtener más información, consulte Registrar llamadas a la AWS KMS API con AWS CloudTrail.
Especificar DryRun con la API
Para usarloDryRun
, especifique el —dry-run
parámetro en los AWS CLI
comandos y las llamadas a la AWS KMS API que admiten el parámetro. Cuando lo hagas, AWS KMS verificará si la llamada se ha realizado correctamente. AWS KMS las llamadas que utilice siempre DryRun
fallarán y devolverán un mensaje con información sobre el motivo por el que se produjo el error en la llamada. El mensaje puede incluir las siguientes excepciones:
-
DryRunOperationException
: la solicitud se realizaría correctamente siDryRun
no se especificara. -
ValidationException
: se produjo un error en la solicitud al especificar un parámetro de API incorrecto. -
AccessDeniedException
: no tiene permisos para realizar la acción de API especificada en el recurso de KMS.
Por ejemplo, el siguiente comando usa la CreateGrantoperación y crea una concesión que permite a los usuarios autorizados a asumir la keyUserRole
función llamar a la operación de descifrado con una clave KMS simétrica especificada. Se especifica el parámetro DryRun
.
$
aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \ --operations Decrypt \ --dry-run