As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
KMSprincipais acessos e permissões
Para usar AWS KMS, você deve ter credenciais que AWS possam ser usadas para autenticar suas solicitações. As credenciais devem incluir permissões para acessar AWS recursos: AWS KMS keys e aliases. Nenhum AWS diretor tem permissão para uma KMS chave, a menos que essa permissão seja fornecida explicitamente e nunca negada. Não há permissão implícita ou automática para usar ou gerenciar uma KMS chave.
Para controlar o acesso às suas KMS chaves, você pode usar os seguintes mecanismos de política.
-
Política chave — Cada KMS chave tem uma política chave. É o principal mecanismo para controlar o acesso a uma KMS chave. Você pode usar a política de chaves sozinha para controlar o acesso, o que significa que o escopo completo do acesso à KMS chave é definido em um único documento (a política de chaves). Para mais informações sobre como usar políticas de chaves, consulte Políticas de chaves.
-
IAMpolíticas — Você pode usar IAM políticas em combinação com a política de chaves e concessões para controlar o acesso a uma KMS chave. Controlar o acesso dessa forma permite que você gerencie todas as permissões para suas IAM identidades noIAM. Para usar uma IAM política para permitir o acesso a uma KMS chave, a política de chaves deve permitir isso explicitamente. Para obter mais informações sobre o uso de IAM políticas, consulteIAMpolíticas.
-
Subsídios — Você pode usar subsídios em combinação com a política e IAM as políticas principais para permitir o acesso a uma KMS chave. Controlar o acesso dessa forma permite que você permita o acesso à KMS chave na política de chaves e permita que as identidades deleguem seu acesso a outras pessoas. Para obter mais informações sobre como usar concessões, consulte Subsídios em AWS KMS.
KMSpolíticas-chave
A principal forma de gerenciar o acesso aos seus AWS KMS recursos é com políticas. Políticas são documentos que descrevem quais entidades principais podem acessar recursos específicos. As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (ou IAMpolíticas), e as políticas anexadas a outros tipos de recursos são chamadas de políticas de recursos. AWS KMS as políticas de recursos para KMS chaves são chamadas de políticas de chaves.
Todas KMS as chaves têm uma política de chaves. Se você não fornecer um, AWS KMS cria um para você. A política de chaves padrão AWS KMS usada difere dependendo se você cria a chave no AWS KMS console ou usa AWS KMS API o. Recomendamos que você edite a política de chaves padrão para se alinhar aos requisitos de permissões de privilégios mínimos da sua organização.
Você pode usar a política de chaves sozinha para controlar o acesso se a chave e o IAM principal estiverem na mesma AWS conta, o que significa que o escopo completo do acesso à KMS chave é definido em um único documento (a política de chaves). No entanto, quando um chamador em uma conta precisa acessar uma chave em outra conta, você não pode usar a política de chaves sozinho para conceder acesso. No cenário de várias contas, uma IAM política deve ser anexada ao usuário ou à função do chamador que permita explicitamente que o chamador faça a chamada. API
Você também pode usar IAM políticas em combinação com políticas e concessões importantes para controlar o acesso a uma KMS chave. Para usar uma IAM política para controlar o acesso a uma KMS chave, a política de chaves deve dar permissão à conta para usar IAM políticas. Você pode especificar uma declaração de política chave que habilite IAM políticas ou especificar explicitamente os principais permitidos na política de chaves.
Ao redigir políticas, certifique-se de ter controles rígidos que restrinjam quem pode realizar as seguintes ações:
-
Atualizar, criar IAM e excluir as KMS principais políticas
-
Anexe e separe IAM políticas de usuários, funções e grupos
-
Anexe e separe as KMS principais políticas de suas chaves KMS
KMSprincipais subsídios
Além das principais IAM políticas, AWS KMS apoia subsídios. Os subsídios oferecem uma forma flexível e poderosa de delegar permissões. Você pode usar subsídios para emitir acesso por KMS chave com prazo determinado aos IAM diretores em sua AWS conta ou em outras AWS contas. Recomendamos emitir acesso com limite de tempo se você não souber os nomes dos diretores no momento em que as políticas foram criadas ou se os diretores que exigem acesso mudarem com frequência. O principal do beneficiário pode estar na mesma conta da KMS chave ou em uma conta diferente. Se o principal e a KMS chave estiverem em contas diferentes, você deverá especificar uma IAM política além da concessão. Os subsídios exigem gerenciamento adicional porque você deve chamar um API para criar o subsídio e retirá-lo ou revogá-lo quando ele não for mais necessário.
Os tópicos a seguir fornecem detalhes sobre como você pode usar AWS Identity and Access Management (IAM) e AWS KMS permissões para ajudar a proteger seus recursos controlando quem pode acessá-los.