Como usar o AWS Management Console Como usar o AWS CLI

Controlar o acesso à exclusão de chaves

Se você usar políticas do IAM para conceder permissões do AWS KMS, as identidades do IAM que têm acesso de administrador da AWS ("Action": "*") ou acesso total do AWS KMS ("Action": "kms:*") já têm permissão para agendar e cancelar a exclusão de chaves do KMS. Para permitir que os administradores de chaves programem e cancelem a exclusão de chaves na política de chaves, use o console do AWS KMS ou a API do AWS KMS.

Normalmente, apenas os administradores de chaves têm permissão para programar ou cancelar a exclusão da chave. Porém, você pode conceder essas permissões a outras identidades do IAM adicionando a permissãokms:ScheduleKeyDeletion e kms:CancelKeyDeletion à política de chaves ou a uma política do IAM. Você também pode usar a chave de kms:ScheduleKeyDeletionPendingWindowInDayscondição para restringir ainda mais os valores que os principais podem especificar no PendingWindowInDays parâmetro de uma ScheduleKeyDeletionsolicitação.

Permitir que os administradores de chaves programem e cancelem a exclusão de chaves (console)

Para conceder aos administradores de chaves permissão para agendar e cancelar a exclusão de chaves.

Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
Escolha o alias ou o ID de chave da chave do KMS cujas permissões você quer alterar.
Selecione a guia Key policy (Política de chaves).
A próxima etapa difere a visualização padrão da visualização de política de sua política de chaves. A visualização padrão estará disponível somente se você estiver usando a política de chaves padrão do console. Senão, apenas a visualização da política estará disponível.

Quando a visualização padrão está disponível, o botão Switch to policy view (Alternar para visualização de política) ou Switch to default view (Alternar para visualização padrão) é exibido na guia Key policy (Política de chaves).
- Na visualização padrão:
  1. Em Key deletion (Exclusão de chaves), escolha Allow key administrators to delete this key (Permitir que administradores de chaves excluam esta chave).
- Na visualização de política:
  1. Selecione a opção Editar.
  2. Na declaração de política para administradores de chave, adicione as permissões kms:ScheduleKeyDeletion e kms:CancelKeyDeletion ao elemento Action.
```
{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}
```
  3. Escolha Salvar alterações.

Conceder aos administradores de chaves permissão para agendar e cancelar a exclusão de chaves (AWS CLI)

Você pode usar o AWS Command Line Interface para adicionar permissões para programar e cancelar a exclusão de chaves.

Para adicionar permissão para programar e cancelar a exclusão de chaves

Use o comando aws kms get-key-policy para recuperar a política de chaves existente e, em seguida, salve o documento de política em um arquivo.

Abra o documento de política no editor de texto de sua preferência. Na declaração de política para administradores de chave, adicione as permissões kms:ScheduleKeyDeletion e kms:CancelKeyDeletion. O exemplo a seguir mostra uma declaração de política com essas duas permissões:


{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

Use o comando aws kms put-key-policy para aplicar a política de chaves à chave do KMS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Excluir chaves

Programar e cancelar a exclusão de chaves