Usar políticas do IAM com o AWS KMS
É possível usar políticas do IAM, juntamente com políticas de chaves, concessões e políticas de endpoint da VPC para controlar o acesso às suas AWS KMS keys no AWS KMS.
Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chaves da chave do KMS deve conceder à conta permissão para usar políticas do IAM. Especificamente, a política de chaves deve incluir a instrução de política que habilita políticas do IAM.
Esta seção explica como usar as políticas do IAM para controlar o acesso às operações do AWS KMS. Para obter informações mais gerais sobre permissões do IAM, consulte o Manual do usuário do IAM.
Todas chaves do KMS do KMS têm uma política de chaves. Políticas do IAM são opcionais. Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chaves da chave do KMS deve conceder à conta permissão para usar políticas do IAM. Especificamente, a política de chaves deve incluir a instrução de política que habilita políticas do IAM.
As políticas do IAM podem controlar o acesso a qualquer operação do AWS KMS. Diferente das políticas de chave, as políticas do IAM podem controlar o acesso a várias chaves do KMS e fornecer permissões para as operações de vários serviços relacionados da AWS. Entretanto, as políticas do IAM são particularmente úteis para controlar o acesso a operações, como CreateKey, que não podem ser controladas por uma política de chave porque não envolvem nenhuma chave do KMS específica.
Se você acessar o AWS KMS por meio de um endpoint da Amazon Virtual Private Cloud (Amazon VPC), também poderá usar uma política de endpoint da VPC para limitar o acesso aos seus recursos do AWS KMS ao usar esse endpoint. Por exemplo, ao usar o endpoint da VPC, você pode permitir que apenas as entidades principais na sua Conta da AWSacessem chaves gerenciadas pelo cliente. Para obter mais detalhes, consulte Controlar o acesso a um endpoint da VPC.
Para ajuda sobre como escrever e formatar um documento de política JSON, consulte aReferência a políticas JSON do IAM, no Manual do usuário do IAM.
Tópicos