Políticas de chaves no AWS KMS - AWS Key Management Service

Políticas de chaves no AWS KMS

Uma política de chaves é uma política de recursos para uma AWS KMS key. Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Cada chave do KMS deve ter exatamente uma política de chaves. As instruções na política de chaves determinam quem tem permissão para usar a chave do KMS e como eles podem usá-la. Você também pode usar políticas do IAM e concessões para controlar o acesso à chave do KMS, mas cada chave do KMS deve ter uma política de chaves.

Nenhuma entidade principal da AWS, incluindo o usuário raiz da conta ou criador da chave, tem permissões para uma chave do KMS, a menos que esta seja explicitamente permitida e nunca negada, em uma política de chave, política do IAM ou concessão.

A menos que a política de chaves permita isto explicitamente, você não pode usar políticas do IAM para autorizar o acesso a uma chave do KMS. Sem permissão da política de chaves, as políticas do IAM que autorizam permissões não têm efeito. (Você pode usar uma política do IAM para negar uma permissão para uma chave KMS sem permissão de uma política de chaves.) A política de chaves padrão habilita as políticas do IAM. Para habilitar políticas do IAM em sua política de chaves, adicione a declaração de política descrita em Permitir acesso à Conta da AWS e habilita políticas do IAM.

Ao contrário das políticas do IAM, que são globais, as políticas de chaves são regionais. Uma política de chaves controla o acesso somente a uma chave do KMS na mesma região. Ela não tem efeito sobre as chaves do KMS em outras regiões.