Usar políticas do IAM com o AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar políticas do IAM com o AWS KMS

É possível usar políticas do IAM, juntamente com políticas de chaves, concessões e políticas de endpoint da VPC para controlar o acesso às suas AWS KMS keys no AWS KMS.

nota

Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chaves da chave do KMS deve conceder à conta permissão para usar políticas do IAM. Especificamente, a política de chaves deve incluir a instrução de política que habilita políticas do IAM.

Esta seção explica como usar as políticas do IAM para controlar o acesso às operações do AWS KMS. Para obter informações mais gerais sobre permissões do IAM, consulte o Manual do usuário do IAM.

Todas chaves do KMS do KMS têm uma política de chaves. Políticas do IAM são opcionais. Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chaves da chave do KMS deve conceder à conta permissão para usar políticas do IAM. Especificamente, a política de chaves deve incluir a instrução de política que habilita políticas do IAM.

As políticas do IAM podem controlar o acesso a qualquer operação do AWS KMS. Diferente das políticas de chave, as políticas do IAM podem controlar o acesso a várias chaves do KMS e fornecer permissões para as operações de vários serviços relacionados da AWS. Mas as políticas do IAM são particularmente úteis para controlar o acesso a operações CreateKey, como aquelas que não podem ser controladas por uma política de chaves porque não envolvem nenhuma chave KMS específica.

Se você acessar o AWS KMS por meio de um endpoint da Amazon Virtual Private Cloud (Amazon VPC), também poderá usar uma política de endpoint da VPC para limitar o acesso aos seus recursos do AWS KMS ao usar esse endpoint. Por exemplo, ao usar o endpoint da VPC, você pode permitir que apenas as entidades principais na sua Conta da AWSacessem chaves gerenciadas pelo cliente. Para obter detalhes, consulte Controlar o acesso a um endpoint da VPC.

Para ajuda sobre como escrever e formatar um documento de política JSON, consulte aReferência a políticas JSON do IAM, no Manual do usuário do IAM.