Política gerenciada pela AWS para usuários avançados - AWS Key Management Service

Política gerenciada pela AWS para usuários avançados

É possível usar a política gerenciada pela AWSKeyManagementServicePowerUser para conceder às entidades principais do IAM em sua conta as permissões de um usuário avançado. Usuários avançados podem criar chaves do KMS, usar e gerenciar as chaves do KMS que eles criam e visualizar todas as chaves do KMS e identidades do IAM. Entidades principais que têm a política gerenciada AWSKeyManagementServicePowerUser também podem obter permissões de outras origens, incluindo políticas de chave, outras políticas do IAM e concessões.

AWSKeyManagementServicePowerUser é uma política do IAM gerenciada pela AWS. Para obter mais informações sobre políticas gerenciadas pela AWS, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

nota

Permissões nesta política específicas para uma chave do KMS, como kms:TagResource e kms:GetKeyRotationStatus, só entram em vigor quando a política de chaves para essa chave do KMS permite explicitamente que a Conta da AWS use as políticas do IAM para controlar o acesso à chave. Para determinar se uma permissão é específica para uma chave do KMS, consulte Permissões AWS KMS e procure um valor de KMS key (Chave do KMS) na coluna Resources (Recursos).

Essa política concede a um usuário avançado permissões sobre qualquer chave do KMS com uma política de chave que permita a operação. Para permissões entre contas, como kms:DescribeKey e kms:ListGrants, isso pode incluir chaves do KMS em Contas da AWS não confiáveis. Para obter mais detalhes, consulte Práticas recomendadas para políticas do IAM e Permitir que usuários de outras contas usem uma chave do KMS. Para determinar se uma permissão é válida em chaves do KMS em outras contas, consulte Permissões AWS KMS e procure por um valor Yes (Sim) na coluna Cross-account use (Uso entre contas).

Para permitir que as entidades principais exibam o console do AWS KMS sem erros, a entidade precisa da permissão tag:GetResources, que não está incluída na política AWSKeyManagementServicePowerUser. Você pode permitir essa permissão em uma política do IAM separada.

A política do IAM gerenciada AWSKeyManagementServicePowerUser inclui as permissões a seguir.

  • Permite que as entidades principais criem chaves do KMS. Como esse processo inclui a definição da política de chaves, os usuários avançados podem conceder a si mesmos e a outros permissão para usar e gerenciar as chaves do KMS criadas por eles.

  • Permite que as entidades principais criem e excluam aliases e tags em todas as chaves do KMS. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão para usar e gerenciar a chave do KMS. Para obter mais detalhes, consulte ABAC para AWS KMS.

  • Permite que as entidades principais obtenham informações detalhadas sobre todas as chaves do KMS, incluindo seu ARN de chave, configuração criptográfica, política de chaves, aliases, tags e status de alternância.

  • Permite que as entidades principais listem usuários, grupos e funções do IAM.

  • Essa política não permite que as entidades principais usem nem gerenciem chaves do KMS não criadas por eles. No entanto, eles podem alterar aliases e tags em todas as chaves do KMS, o que pode permitir ou negar permissão para usar ou gerenciar uma chave do KMS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }