Acciones, recursos y claves de condición para AWS Key Management Service - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Key Management Service

AWS Key Management Service (servicio prefijo: kms) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Key Management Service

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CancelKeyDeletion Controla el permiso para cancelar la eliminación programada de una clave KMS de AWS Escritura

key*

kms:CallerAccount

kms:ViaService

ConnectCustomKeyStore Controla el permiso para conectar o volver a conectar un almacén de claves personalizadas al clúster de AWS CloudHSM que tiene asociado. Escritura

kms:CallerAccount

CreateAlias Controla el permiso para crear un alias para una clave KMS de AWS. Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves KMS Escritura

alias*

key*

kms:CallerAccount

kms:ViaService

CreateCustomKeyStore Controla el permiso para crear un almacén de claves personalizadas asociado a un clúster de AWS CloudHSM de su propiedad y que administra. Escritura

kms:CallerAccount

cloudhsm:DescribeClusters

iam:CreateServiceLinkedRole

CreateGrant Controla el permiso para agregar una concesión a una clave KMS de AWS. Puede usar concesiones para agregar permisos sin cambiar la política de claves o la política de IAM. Permissions management

key*

kms:CallerAccount

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

kms:ViaService

CreateKey Controla el permiso para crear una clave KMS AWS que puede utilizarse para proteger claves de datos y otra información confidencial Escritura

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ViaService

iam:CreateServiceLinkedRole

kms:PutKeyPolicy

kms:TagResource

Decrypt Controla el permiso para descifrar el texto cifrado que se cifró con una clave KMS de AWS Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:RecipientAttestation:ImageSha384

kms:RequestAlias

kms:ViaService

DeleteAlias Controla el permiso para eliminar un alias. Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves KMS de AWS Escritura

alias*

key*

kms:CallerAccount

kms:ViaService

DeleteCustomKeyStore Controla el permiso para eliminar un almacén de claves personalizadas. Escritura

kms:CallerAccount

DeleteImportedKeyMaterial Controla el permiso para eliminar el material criptográfico que importó a una clave KMS de AWS. Esta acción hace que la clave sea inservible. Write

key*

kms:CallerAccount

kms:ViaService

DescribeCustomKeyStores Controla el permiso para ver información detallada acerca de los almacenes de claves personalizadas de la cuenta y la región. Lectura

kms:CallerAccount

DescribeKey Controla el permiso para ver información detallada acerca de una clave KMS de AWS Lectura

key*

kms:CallerAccount

kms:RequestAlias

kms:ViaService

DisableKey Controla el permiso para desactivar una clave KMS de AWS, lo que evita que se utilice en operaciones criptográficas. Escritura

key*

kms:CallerAccount

kms:ViaService

DisableKeyRotation Controla el permiso para desactivar la rotación automática de una clave KMS de AWS administrada por un cliente Escritura

key*

kms:CallerAccount

kms:ViaService

DisconnectCustomKeyStore Controla el permiso para desconectar el almacén de claves personalizadas del clúster de AWS CloudHSM que tiene asociado. Escritura

kms:CallerAccount

EnableKey Controla el permiso para cambiar el estado de una clave KMS de AWS a habilitada. Esto permite que la clave KMS se utilice en operaciones criptográficas Escritura

key*

kms:CallerAccount

kms:ViaService

EnableKeyRotation Controla el permiso para habilitar la rotación automática del material criptográfico en una clave KMS de AWS Escritura

key*

kms:CallerAccount

kms:ViaService

Encrypt Controla el permiso para utilizar la clave KMS de AWS especificada para cifrar datos y claves de datos Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:RequestAlias

kms:ViaService

GenerateDataKey Controla el permiso para usar la clave KMS de AWS para generar claves de datos. Puede utilizar las claves de datos para cifrar datos fuera de AWS KMS. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:RecipientAttestation:ImageSha384

kms:RequestAlias

kms:ViaService

GenerateDataKeyPair Controla el permiso para usar la clave KMS de AWS para generar pares de claves de datos Escritura

key*

kms:CallerAccount

kms:DataKeyPairSpec

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:RequestAlias

kms:ViaService

GenerateDataKeyPairWithoutPlaintext Controla el permiso para usar la clave KMS de AWS para generar pares de claves de datos. A diferencia de la operación GenerateDataKeyPair, esta operación devuelve una clave privada cifrada sin una copia de texto sin formato. Escritura

key*

kms:CallerAccount

kms:DataKeyPairSpec

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:RequestAlias

kms:ViaService

GenerateDataKeyWithoutPlaintext Controla el permiso para usar la clave KMS de AWS para generar una clave de datos. A diferencia de la operación GenerateDataKey, esta devuelve una clave de datos cifrada sin una versión de texto no cifrado de la clave de datos. Escritura

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:RequestAlias

kms:ViaService

GenerateMac Controla el permiso para utilizar la Clave KMS de AWS para generar códigos de autenticación de mensajes Escritura

key*

kms:CallerAccount

kms:MacAlgorithm

kms:RequestAlias

kms:ViaService

GenerateRandom Controla el permiso para obtener una cadena de bytes aleatorios criptográficamente segura desde AWS KMS Escritura

kms:RecipientAttestation:ImageSha384

GetKeyPolicy Controla el permiso para ver la política de claves para la clave KMS de AWS especificada Lectura

key*

kms:CallerAccount

kms:ViaService

GetKeyRotationStatus Controla el permiso para determinar si la rotación automática de claves está habilitada en la clave KMS de AWS Lectura

key*

kms:CallerAccount

kms:ViaService

GetParametersForImport Controla el permiso para obtener datos necesarios para importar material criptográfico en una clave administrada por el cliente, incluida una clave pública y un token de importación. Lectura

key*

kms:CallerAccount

kms:ViaService

kms:WrappingAlgorithm

kms:WrappingKeySpec

GetPublicKey Controla el permiso para descargar la clave pública de una clave KMS de AWS asimétrica Lectura

key*

kms:CallerAccount

kms:RequestAlias

kms:ViaService

ImportKeyMaterial Controla el permiso para importar material criptográfico en una clave KMS de AWS Escritura

key*

kms:CallerAccount

kms:ExpirationModel

kms:ValidTo

kms:ViaService

ListAliases Controla el permiso para ver los alias definidos en la cuenta. Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves KMS de AWS List
ListGrants Controla el permiso para ver todas las concesiones para una clave KMS de AWS List

key*

kms:CallerAccount

kms:GrantIsForAWSResource

kms:ViaService

ListKeyPolicies Controla el permiso para ver los nombres de las políticas de claves para una clave KMS de AWS List

key*

kms:CallerAccount

kms:ViaService

ListKeys Controla el permiso para ver el ID de clave y nombre de recurso de Amazon (ARN) de todas las claves KMS AWS cliente en la cuenta List
ListResourceTags Controla el permiso para ver todas las etiquetas adjuntadas a una clave KMS de AWS List

key*

kms:CallerAccount

kms:ViaService

ListRetirableGrants Controla el permiso para ver concesiones en las que el principal especificado es el principal de retirada. Otros principales pueden retirar la concesión y este principal puede retirar otras concesiones. List

key*

PutKeyPolicy Controla el permiso para reemplazar la política de claves para la clave KMS de AWS especificada Permissions management

key*

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:ViaService

ReEncryptFrom Controla el permiso para descifrar datos como parte del proceso que descifra y vuelve a cifrar los datos dentro de AWS KMS Write

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:ReEncryptOnSameKey

kms:RequestAlias

kms:ViaService

ReEncryptTo Controla el permiso para cifrar datos como parte del proceso que descifra y vuelve a cifrar los datos dentro de AWS KMS Write

key*

kms:CallerAccount

kms:EncryptionAlgorithm

kms:EncryptionContext:${EncryptionContextKey}

kms:EncryptionContextKeys

kms:ReEncryptOnSameKey

kms:RequestAlias

kms:ViaService

ReplicateKey Controla el permiso para replicar una clave principal de varias regiones. Write

key*

iam:CreateServiceLinkedRole

kms:CreateKey

kms:PutKeyPolicy

kms:TagResource

kms:CallerAccount

kms:ReplicaRegion

kms:ViaService

RetireGrant Controla el permiso para retirar una concesión. El usuario de la concesión invoca normalmente la operación RetireGrant después de que se completen las tareas que la concesión permitía realizar. Permissions management

key*

RevokeGrant Controla el permiso para revocar una concesión, que deniega el permiso de todas las operaciones que dependen de la concesión. Permissions management

key*

kms:CallerAccount

kms:GrantIsForAWSResource

kms:ViaService

ScheduleKeyDeletion Controla el permiso para programar la eliminación de una clave KMS de AWS Escritura

key*

kms:CallerAccount

kms:ViaService

Sign Controla el permiso para producir una firma digital para un mensaje. Write

key*

kms:CallerAccount

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

kms:ViaService

SynchronizeMultiRegionKey [solo permiso] Controla el acceso a las API internas que sincronizan claves de varias regiones. Escritura

key*

TagResource Controla el permiso para crear o actualizar etiquetas adjuntadas a una clave KMS de AWS Etiquetado

key*

aws:RequestTag/${TagKey}

aws:TagKeys

kms:CallerAccount

kms:ViaService

UntagResource Controla el permiso para eliminar las etiquetas adjuntadas a una clave KMS de AWS Etiquetado

key*

aws:TagKeys

kms:CallerAccount

kms:ViaService

UpdateAlias Controla el permiso para asociar un alias a una clave KMS de AWS diferente. Un alias es un nombre sencillo opcional que se puede asociar a una clave KMS de Escritura

alias*

key*

kms:CallerAccount

kms:ViaService

UpdateCustomKeyStore Controla el permiso para cambiar las propiedades de un almacén de claves personalizadas. Escritura

kms:CallerAccount

UpdateKeyDescription Controla el permiso para eliminar o cambiar la descripción de una clave KMS de AWS Escritura

key*

kms:CallerAccount

kms:ViaService

UpdatePrimaryRegion Controla el permiso para actualizar la región principal de una clave principal de varias regiones. Escritura

key*

kms:CallerAccount

kms:PrimaryRegion

kms:ViaService

Verify Controla el permiso para usar la clave KMS de AWS especificada para verificar las firmas digitales Escritura

key*

kms:CallerAccount

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

kms:ViaService

VerifyMac Controla el permiso para utilizar la Clave KMS de AWS para verificar los códigos de autenticación de mensajes Escritura

key*

kms:CallerAccount

kms:MacAlgorithm

kms:RequestAlias

kms:ViaService

Tipos de recursos definidos por AWS Key Management Service

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}
key arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:KeyOrigin

kms:KeySpec

kms:KeyUsage

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

Claves de condición para AWS Key Management Service

AWS Key Management Service define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso a las operaciones de AWS KMS especificadas basadas en la clave y en el valor de la etiqueta en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso a las operaciones especificadas de KMS de AWS en función de las etiquetas asignadas a la clave KMS de AWS. Cadena
aws:TagKeys Filtra el acceso a las operaciones de AWS KMS especificadas basadas en las claves de etiquetas en la solicitud ArrayOfString
kms:BypassPolicyLockoutSafetyCheck Filtra el acceso a las operaciones CreateKey y PutKeyPolicy en función del valor del parámetro BypassPolicyLockoutSafetyCheck de la solicitud. Bool
kms:CallerAccount Filtra el acceso a las operaciones especificadas de AWS KMS en función del ID de la Cuenta de AWS de la persona que llama. Puede utilizar esta clave de condición para permitir o denegar el acceso a todos los roles y usuarios de IAM en una Cuenta de AWS con una única instrucción de política. Cadena
kms:CustomerMasterKeySpec La clave de condición kms:CustomerMasterKeySpec está obsoleta. En su lugar, utilice la clave de condición kmsKkeySpec Cadena
kms:CustomerMasterKeyUsage La clave de condición kms:CustomerMasterKeyUsage está obsoleta. En su lugar, utilice la clave de condición kms:KeyUsage Cadena
kms:DataKeyPairSpec Filtra el acceso a las operaciones GenerateDataKeyPair y GenerateDataKeyPairWithoutPlaintext en función del valor del parámetro KeyPairSpec en la solicitud. Cadena
kms:EncryptionAlgorithm Filtra el acceso a las operaciones de cifrado en función del valor del algoritmo de cifrado de la solicitud. Cadena
kms:EncryptionContext:${EncryptionContextKey} Filtra el acceso a una clave simétrica AWS KMS basada en el contexto de cifrado en una operación criptográfica. Esta clave de condición evalúa la clave y el valor de cada par de valor de clave en el contexto de cifrado. Cadena
kms:EncryptionContextKeys Filtra el acceso a una clave simétrica AWS KMS basada en el contexto de cifrado en una operación criptográfica. Esta clave de condición solo evalúa la clave de cada par de valor de clave en el contexto de cifrado. ArrayOfString
kms:ExpirationModel Filtra el acceso a la operación ImportKeyMaterial en función del valor del parámetro ExpirationModel de la solicitud. Cadena
kms:GrantConstraintType Filtra el acceso a la operación CreateGrant en función de la limitación de concesiones de la solicitud. Cadena
kms:GrantIsForAWSResource Filtra el acceso a la operación CreateGrant cuando la solicitud proviene de un servicio de AWS especificado Bool
kms:GrantOperations Filtra el acceso a la operación CreateGrant en función de las operaciones en la concesión. ArrayOfString
kms:GranteePrincipal Filtra el acceso a la operación CreateGrant en función del principal beneficiario en la concesión. Cadena
kms:KeyOrigin Filtra el acceso a una operación de API en función de la propiedad Origin de la clave KMS de AWS creada por la operación o utilizada en esta. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para una clave KMS Cadena
kms:KeySpec Filtra el acceso a una operación de API en función de la propiedad clave KMS de AWS creada por la operación o utilizada en esta. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para un recurso de clave KMS. Cadena
kms:KeyUsage Filtra el acceso a una operación de API en función de la propiedad KeyUsage de la clave KMS de AWS creada por la operación o utilizada en esta. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para un recurso de clave KMS. Cadena
kms:MacAlgorithm Filtra el acceso a las operaciones GenerateMac y VerifyMac en función del parámetro MacAlgorithm de la solicitud Cadena
kms:MessageType Filtra el acceso a las operaciones Sign y Verify en función del valor del parámetro MessageType de la solicitud. Cadena
kms:MultiRegion Filtra el acceso a una operación de API en función de la propiedad MultiRegion de la clave KMS de AWS creada por la operación o utilizada en esta. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para un recurso de clave KMS. Bool
kms:MultiRegionKeyType Filtra el acceso a una operación de API en función de la propiedad MultiRegionKeyType de la clave KMS de AWS creada por la operación o utilizada en esta. Utilícela para calificar la autorización de la operación CreateKey o cualquier operación autorizada para un recurso de clave KMS. Cadena
kms:PrimaryRegion Filtra el acceso a la operación UpdatePrimaryRegion en función del valor del parámetro PrimaryRegion en la solicitud. Cadena
kms:ReEncryptOnSameKey Filtra el acceso a la operación ReEncrypt cuando utiliza la misma clave KMS de AWS que se utilizó para la operación Encrypt Bool
kms:RecipientAttestation:ImageSha384 Filtra el acceso a las operaciones Decrypt, GenerateDataKey y GenerateRandom en función del hash de imagen del documento de certificación de la solicitud Cadena
kms:ReplicaRegion Filtra el acceso a la operación ReplicateKey en función del valor del parámetro ReplicaRegion en la solicitud. Cadena
kms:RequestAlias Filtra el acceso a las operaciones criptográficas, DescribeKey y GetPublicKey en función del alias de la solicitud. Cadena
kms:ResourceAliases Filtra el acceso a las operaciones especificadas de KMS de AWS en función de los alias asociados a la clave KMS de AWS ArrayOfString
kms:RetiringPrincipal Filtra el acceso a la operación CreateGrant en función del principal de retirada en la concesión. Cadena
kms:SigningAlgorithm Filtra el acceso a las operaciones Sign y Verify en función del algoritmo de firma de la solicitud. Cadena
kms:ValidTo Filtra el acceso a la operación ImportKeyMaterial en función del valor del parámetro ValidTo de la solicitud. Puede utilizar esta clave de condición para permitir a los usuarios importar el material de claves solo cuando se alcance la fecha de expiración especificada. Fecha
kms:ViaService Filtra el acceso cuando una solicitud en nombre de la entidad principal proviene de un servicio de AWS especificado. Cadena
kms:WrappingAlgorithm Filtra el acceso a la operación GetParametersForImport en función del valor del parámetro WrappingAlgorithm de la solicitud. Cadena
kms:WrappingKeySpec Filtra el acceso a la operación GetParametersForImport en función del valor del parámetro WrappingKeySpec de la solicitud. Cadena