¿Qué es DryRun?Especificar DryRun con la API

Prueba de los permisos

Para poder AWS KMS utilizarlas, debes tener credenciales que AWS puedas utilizar para autenticar tus solicitudes de API. Las credenciales deben incluir permisos para obtener acceso a las claves de KMS y alias. Los permisos vienen determinados por las políticas de claves, las políticas de IAM, las concesiones y los controles de acceso entre cuentas. Además de controlar el acceso a las claves de KMS, puede controlar el acceso a su CloudHSM y a los almacenes de claves personalizados.

Puede especificar el parámetro DryRun de la API para comprobar que dispone de los permisos necesarios para utilizar las claves de AWS KMS . También puedes utilizarlas DryRun para comprobar que los parámetros de la solicitud en una llamada a la AWS KMS API estén especificados correctamente.

¿Cuál es el DryRun parámetro?

DryRun es un parámetro de API opcional que se especifica para comprobar que las llamadas a la API de AWS KMS se realizan correctamente. Use DryRun para probar la llamada a la API antes de hacer una llamada a AWS KMS. Puede comprobar lo siguiente:

Que cuenta con los permisos necesarios para utilizar las claves de AWS KMS .
Que ha especificado correctamente los parámetros de la llamada.

AWS KMS admite el uso del DryRun parámetro en determinadas acciones de la API:

El uso del parámetro DryRun generará cargos y se facturará como una solicitud a la API estándar. Para obtener más información sobre AWS KMS los precios, consulta AWS Key Management Service Precios.

Todas las solicitudes a la API que utilizan el parámetro DryRun se aplican a la cuota de solicitudes a la API y pueden dar lugar a una excepción de limitación si se supera una cuota de solicitudes a la API. Por ejemplo, llamar a Decrypt con DryRun o sin DryRun cuenta para la misma cuota de operaciones criptográficas. Consulte Limitar las solicitudes AWS KMS para obtener más información.

Cada llamada a una operación de AWS KMS API se captura como un evento y se registra en un AWS CloudTrail registro. El resultado de cualquier operación que especifique el DryRun parámetro aparece en el CloudTrail registro. Para obtener más información, consulte Registrar llamadas a la AWS KMS API con AWS CloudTrail.

Especificar DryRun con la API

Para usarloDryRun, especifique el —dry-run parámetro en los AWS CLI comandos y las llamadas a la AWS KMS API que admiten el parámetro. Cuando lo hagas, AWS KMS verificará si la llamada se ha realizado correctamente. AWS KMS las llamadas que utilice siempre DryRun fallarán y devolverán un mensaje con información sobre el motivo por el que se produjo el error en la llamada. El mensaje puede incluir las siguientes excepciones:

DryRunOperationException: la solicitud se realizaría correctamente si DryRun no se especificara.
ValidationException: se produjo un error en la solicitud al especificar un parámetro de API incorrecto.
AccessDeniedException: no tiene permisos para realizar la acción de API especificada en el recurso de KMS.

Por ejemplo, el siguiente comando usa la CreateGrantoperación y crea una concesión que permite a los usuarios autorizados a asumir la keyUserRole función llamar a la operación de descifrado con una clave KMS simétrica especificada. Se especifica el parámetro DryRun.


$  aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
    --operations Decrypt \
    --dry-run

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de permisos

Llaves para fines especiales