Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Key Management Service
AWS El Servicio de administración de claves (prefijo de servicio:kms) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por AWS Key Management Service
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| CancelKeyDeletion | Controla el permiso para cancelar la eliminación programada de una clave de KMS AWS | Escritura | |||
| ConnectCustomKeyStore | Controla el permiso para conectar o volver a conectar un almacén de claves personalizado a su clúster de AWS CloudHSM asociado o a un administrador de claves externo fuera de AWS | Escritura | |||
| CreateAlias | Controla el permiso para crear un alias para una AWS clave de KMS. Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves KMS | Escritura | |||
| CreateCustomKeyStore | Controla el permiso para crear un almacén de claves personalizado respaldado por un clúster de AWS CloudHSM o un administrador de claves externo externo a AWS | Escritura |
cloudhsm:DescribeClusters iam:CreateServiceLinkedRole |
||
| CreateGrant | Controla el permiso para añadir una concesión a una clave de AWS KMS. Puede usar concesiones para agregar permisos sin cambiar la política de claves o la política de IAM. | Administración de permisos | |||
| CreateKey | Controla el permiso para crear una clave AWS KMS que se puede usar para proteger las claves de datos y otra información confidencial | Escritura |
iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource |
||
| Decrypt | Controla el permiso para descifrar el texto cifrado que se cifró con una clave KMS AWS | Escritura | |||
|
kms:EncryptionContext:${EncryptionContextKey} |
|||||
| DeleteAlias | Controla el permiso para eliminar un alias. Los alias son nombres descriptivos opcionales que se pueden asociar a las claves de KMS AWS | Escritura | |||
| DeleteCustomKeyStore | Controla el permiso para eliminar un almacén de claves personalizadas. | Escritura | |||
| DeleteImportedKeyMaterial | Controla el permiso para eliminar el material criptográfico que ha importado a una clave de AWS KMS. Esta acción hace que la clave sea inservible. | Escritura | |||
| DeriveSharedSecret | Controla el permiso para usar la clave AWS KMS especificada para obtener secretos compartidos | Escritura | |||
| DescribeCustomKeyStores | Controla el permiso para ver información detallada acerca de los almacenes de claves personalizadas de la cuenta y la región. | Leer | |||
| DescribeKey | Controla el permiso para ver información detallada sobre una clave de AWS KMS | Leer | |||
| DisableKey | Controla el permiso para deshabilitar una clave AWS KMS, lo que impide que se utilice en operaciones criptográficas | Escritura | |||
| DisableKeyRotation | Controla el permiso para deshabilitar la rotación automática de una clave AWS KMS administrada por el cliente | Escritura | |||
| DisconnectCustomKeyStore | Controla el permiso para desconectar el almacén de claves personalizado del clúster de AWS CloudHSM asociado o del administrador de claves externo fuera de AWS | Escritura | |||
| EnableKey | Controla el permiso para cambiar el estado de una clave de AWS KMS a habilitado. Esto permite que la clave KMS se utilice en operaciones criptográficas | Escritura | |||
| EnableKeyRotation | Controla el permiso para habilitar la rotación automática del material criptográfico de una clave AWS KMS | Escritura | |||
| Encrypt | Controla el permiso para usar la clave AWS KMS especificada para cifrar datos y claves de datos | Escritura | |||
| GenerateDataKey | Controla el permiso para usar la clave AWS KMS para generar claves de datos. Puede usar las claves de datos para cifrar datos fuera del KMS AWS | Escritura | |||
|
kms:EncryptionContext:${EncryptionContextKey} |
|||||
| GenerateDataKeyPair | Controla el permiso para usar la clave AWS KMS para generar pares de claves de datos | Escritura | |||
| GenerateDataKeyPairWithoutPlaintext | Controla el permiso para usar la clave AWS KMS para generar pares de claves de datos. A diferencia de la GenerateDataKeyPair operación, esta operación devuelve una clave privada cifrada sin una copia de texto simple | Escritura | |||
| GenerateDataKeyWithoutPlaintext | Controla el permiso para usar la clave AWS KMS para generar una clave de datos. A diferencia de la GenerateDataKey operación, esta operación devuelve una clave de datos cifrada sin una versión de texto simple de la clave de datos | Escritura | |||
| GenerateMac | Controla el permiso para usar la clave AWS KMS para generar códigos de autenticación de mensajes | Escritura | |||
| GenerateRandom | Controla el permiso para obtener una cadena de bytes aleatorios criptográficamente segura del KMS AWS | Escritura | |||
| GetKeyPolicy | Controla el permiso para ver la política de claves de la clave de AWS KMS especificada | Leer | |||
| GetKeyRotationStatus | Controla el permiso para ver el estado de rotación de una clave AWS KMS | Leer | |||
| GetParametersForImport | Controla el permiso para obtener datos necesarios para importar material criptográfico en una clave administrada por el cliente, incluida una clave pública y un token de importación. | Leer | |||
| GetPublicKey | Controla el permiso para descargar la clave pública de una clave AWS KMS asimétrica | Leer | |||
| ImportKeyMaterial | Controla el permiso para importar material criptográfico a una clave KMS AWS | Escritura | |||
| ListAliases | Controla el permiso para ver los alias definidos en la cuenta. Los alias son nombres descriptivos opcionales que se pueden asociar AWS a las claves de KMS | Enumeración | |||
| ListGrants | Controla el permiso para ver todas las concesiones de una clave de AWS KMS | Enumeración | |||
| ListKeyPolicies | Controla el permiso para ver los nombres de las políticas clave de una clave de AWS KMS | Enumeración | |||
| ListKeyRotations | Controla el permiso para ver la lista de rotaciones de clave completadas de una clave de AWS KMS | Enumeración | |||
| ListKeys | Controla el permiso para ver el ID de clave y el nombre de recurso de Amazon (ARN) de todas las claves de AWS KMS de la cuenta | Enumeración | |||
| ListResourceTags | Controla el permiso para ver todas las etiquetas adjuntas a una clave de AWS KMS | Enumeración | |||
| ListRetirableGrants | Controla el permiso para ver concesiones en las que el principal especificado es el principal de retirada. Otras entidades principales pueden retirar la concesión y esta entidad principal puede retirar otras concesiones. | Enumeración | |||
| PutKeyPolicy | Controla el permiso para reemplazar la política de claves por la clave de AWS KMS especificada | Administración de permisos | |||
| ReEncryptFrom | Controla el permiso para descifrar datos como parte del proceso que descifra y vuelve a cifrar los datos en KMS AWS | Escritura | |||
| ReEncryptTo | Controla el permiso para cifrar datos como parte del proceso que descifra y vuelve a cifrar los datos en KMS AWS | Escritura | |||
| ReplicateKey | Controla el permiso para replicar una clave principal de varias regiones. | Write |
iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource |
||
| RetireGrant | Controla el permiso para retirar una concesión. Por lo general, el usuario de la concesión llama a la RetireGrant operación una vez que ha completado las tareas que la concesión le ha permitido realizar | Administración de permisos | |||
| RevokeGrant | Controla el permiso para revocar una concesión, que deniega el permiso de todas las operaciones que dependen de la concesión. | Administración de permisos | |||
| RotateKeyOnDemand | Controla el permiso para invocar la rotación bajo demanda del material criptográfico de una AWS clave KMS | Escritura | |||
| ScheduleKeyDeletion | Controla el permiso para programar la eliminación de una clave KMS AWS | Escritura | |||
| Sign | Controla el permiso para producir una firma digital para un mensaje. | Write | |||
| SynchronizeMultiRegionKey [solo permiso] | Controla el acceso a las API internas que sincronizan claves de varias regiones. | Escritura | |||
| TagResource | Controla el permiso para crear o actualizar las etiquetas adjuntas a una clave de AWS KMS | Etiquetado | |||
| UntagResource | Controla el permiso para eliminar las etiquetas adjuntas a una clave de AWS KMS | Etiquetado | |||
| UpdateAlias | Controla el permiso para asociar un alias a una clave de AWS KMS diferente. Un alias es un nombre sencillo opcional que se puede asociar a una clave KMS de | Escritura | |||
| UpdateCustomKeyStore | Controla el permiso para cambiar las propiedades de un almacén de claves personalizadas. | Escritura | |||
| UpdateKeyDescription | Controla el permiso para eliminar o cambiar la descripción de una clave de AWS KMS | Escritura | |||
| UpdatePrimaryRegion | Controla el permiso para actualizar la región principal de una clave principal de varias regiones. | Escritura | |||
| Verify | Controla el permiso para usar la clave AWS KMS especificada para verificar las firmas digitales | Escritura | |||
| VerifyMac | Controla el permiso para usar la clave AWS KMS para verificar los códigos de autenticación de los mensajes | Escritura | |||
Tipos de recursos definidos por AWS Key Management Service
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
Claves de condición para AWS Key Management Service
AWS El Servicio de administración de claves define las siguientes claves de condición que se pueden usar como Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso a las operaciones de AWS KMS especificadas en función de la clave y el valor de la etiqueta de la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso a las operaciones de AWS KMS especificadas en función de las etiquetas asignadas a la clave de AWS KMS | Cadena |
| aws:TagKeys | Filtra el acceso a las operaciones de AWS KMS especificadas en función de las claves de etiqueta de la solicitud | ArrayOfString |
| kms:BypassPolicyLockoutSafetyCheck | Filtra el acceso a PutKeyPolicy las operaciones CreateKey y en función del valor del BypassPolicyLockoutSafetyCheck parámetro de la solicitud | Bool |
| kms:CallerAccount | Filtra el acceso a determinadas operaciones de AWS KMS en función del Cuenta de AWS identificador de la persona que llama. Puede usar esta clave de condición para permitir o denegar el acceso a todos los usuarios y roles de IAM Cuenta de AWS en una declaración de política única | Cadena |
| kms:CustomerMasterKeySpec | La clave de CustomerMasterKeySpec condición kms: está obsoleta. En su lugar, utilice la clave de KeySpec condición kms: | Cadena |
| kms:CustomerMasterKeyUsage | La clave de CustomerMasterKeyUsage condición kms: está obsoleta. En su lugar, utilice la clave de KeyUsage condición kms: | Cadena |
| kms:DataKeyPairSpec | Filtra el acceso GenerateDataKeyPair y GenerateDataKeyPairWithoutPlaintext las operaciones en función del valor del KeyPairSpec parámetro de la solicitud | Cadena |
| kms:EncryptionAlgorithm | Filtra el acceso a las operaciones de cifrado en función del valor del algoritmo de cifrado de la solicitud. | Cadena |
| kms:EncryptionContext:${EncryptionContextKey} | Filtra el acceso a una clave AWS KMS simétrica en función del contexto de cifrado de una operación criptográfica. Esta clave de condición evalúa la clave y el valor de cada par de valor de clave en el contexto de cifrado. | Cadena |
| kms:EncryptionContextKeys | Filtra el acceso a una clave AWS KMS simétrica en función del contexto de cifrado de una operación criptográfica. Esta clave de condición solo evalúa la clave de cada par de valor de clave en el contexto de cifrado. | ArrayOfString |
| kms:ExpirationModel | Filtra el acceso a la ImportKeyMaterial operación en función del valor del ExpirationModel parámetro de la solicitud | Cadena |
| kms:GrantConstraintType | Filtra el acceso a la CreateGrant operación en función de la restricción de concesión de la solicitud | Cadena |
| kms:GrantIsForAWSResource | Filtra el acceso a la CreateGrant operación cuando la solicitud proviene de un servicio específico AWS | Bool |
| kms:GrantOperations | Filtra el acceso a la CreateGrant operación en función de las operaciones de la concesión | ArrayOfString |
| kms:GranteePrincipal | Filtra el acceso a la CreateGrant operación en función del beneficiario principal de la subvención | Cadena |
| kms:KeyAgreementAlgorithm | Filtra el acceso a la DeriveSharedSecret operación en función del valor del KeyAgreementAlgorithm parámetro de la solicitud | Cadena |
| kms:KeyOrigin | Filtra el acceso a una operación de API en función de la propiedad Origin de la clave AWS KMS creada o utilizada en la operación. Se usa para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para una clave de KMS | Cadena |
| kms:KeySpec | Filtra el acceso a una operación de API en función de la KeySpec propiedad de la clave de AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS | Cadena |
| kms:KeyUsage | Filtra el acceso a una operación de API en función de la KeyUsage propiedad de la clave de AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS | Cadena |
| kms:MacAlgorithm | Filtra el acceso a VerifyMac las operaciones GenerateMac y en función del MacAlgorithm parámetro de la solicitud | Cadena |
| kms:MessageType | Filtra el acceso a las operaciones de firma y verificación en función del valor del MessageType parámetro de la solicitud | Cadena |
| kms:MultiRegion | Filtra el acceso a una operación de API en función de la MultiRegion propiedad de la clave AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS | Bool |
| kms:MultiRegionKeyType | Filtra el acceso a una operación de API en función de la MultiRegionKeyType propiedad de la clave de AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS | Cadena |
| kms:PrimaryRegion | Filtra el acceso a la UpdatePrimaryRegion operación en función del valor del PrimaryRegion parámetro de la solicitud | Cadena |
| kms:ReEncryptOnSameKey | Filtra el acceso a la ReEncrypt operación cuando usa la misma clave AWS KMS que se usó para la operación de cifrado | Bool |
| kms:RecipientAttestation:ImageSha384 | Filtra el acceso a las GenerateRandom operaciones de descifrado DeriveSharedSecret, GenerateDataKey GenerateDataKeyPair, y en función del hash de la imagen que figura en el documento de certificación de la solicitud | Cadena |
| kms:RecipientAttestation:PCR | Filtra el acceso al Decrypt y GenerateRandom las operaciones en función de los registros de configuración de la plataforma (PCR) del documento de certificación de la solicitud GenerateDataKey | Cadena |
| kms:ReplicaRegion | Filtra el acceso a la ReplicateKey operación en función del valor del parámetro de la solicitud ReplicaRegion | Cadena |
| kms:RequestAlias | Filtra el acceso a las operaciones criptográficas y GetPublicKey se basa en el alias de la solicitud DescribeKey | Cadena |
| kms:ResourceAliases | Filtra el acceso a operaciones de AWS KMS específicas en función de los alias asociados a la AWS clave de KMS | ArrayOfString |
| kms:RetiringPrincipal | Filtra el acceso a la CreateGrant operación en función del principal de la concesión que se jubila | Cadena |
| kms:RotationPeriodInDays | Filtra el acceso a la EnableKeyRotation operación en función del valor del RotationPeriodInDays parámetro de la solicitud | Numérico |
| kms:ScheduleKeyDeletionPendingWindowInDays | Filtra el acceso a la ScheduleKeyDeletion operación en función del valor del PendingWindowInDays parámetro de la solicitud | Numérico |
| kms:SigningAlgorithm | Filtra el acceso a las operaciones Sign y Verify en función del algoritmo de firma de la solicitud | Cadena |
| kms:ValidTo | Filtra el acceso a la ImportKeyMaterial operación en función del valor del ValidTo parámetro de la solicitud. Puede utilizar esta clave de condición para permitir a los usuarios importar el material de claves solo cuando se alcance la fecha de expiración especificada. | Date |
| kms:ViaService | Filtra el acceso cuando una solicitud realizada en nombre del principal proviene de un AWS servicio específico | Cadena |
| kms:WrappingAlgorithm | Filtra el acceso a la GetParametersForImport operación en función del valor del WrappingAlgorithm parámetro de la solicitud | Cadena |
| kms:WrappingKeySpec | Filtra el acceso a la GetParametersForImport operación en función del valor del WrappingKeySpec parámetro de la solicitud | Cadena |
