Usar políticas de chaves no AWS KMS - AWS Key Management Service

Usar políticas de chaves no AWS KMS

Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS no AWS KMS. Cada chave do KMS deve ter exatamente uma política de chaves. As instruções no documento de política de chaves determinam quem tem permissão para usar a chave do KMS e como eles podem usá-la. Você também pode usar políticas do IAM e concessões para controlar o acesso à chave do KMS, mas cada chave do KMS deve ter uma política de chaves. Para obter mais informações, consulte Gerenciar o acesso a chaves do KMS.

Para ajuda sobre como escrever e formatar um documento de política JSON, consulte aReferência a políticas JSON do IAM, no Manual do usuário do IAM.

Visão geral de políticas de chaves

Cada chave do KMS deve ter exatamente uma política de chaves. Essa política de chaves controla o acesso somente à chave do KMS associada, juntamente com as concessões e políticas do IAM. Ao contrário das políticas do IAM, que são globais, as políticas de chaves são regionais. Cada política de chaves é eficaz somente na região que hospeda a chave do KMS.

Uma política de chaves é implementada como um documento JSON (JavaScript Object Notation) de até 32 KB (32.768 bytes). Você pode criar e gerenciar políticas de chaves no console do AWS KMS ou usando operações de API do AWS KMS, como CreateKey e PutKeyPolicy.

Os documentos de política de chaves usam a mesma sintaxe JSON de outros documentos de política na AWS e têm a seguinte estrutura básica:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "statement identifier", "Effect": "effect", "Principal": "principal", "Action": "action", "Resource": "resource", "Condition": {"condition operator": {"condition context key": "context key value"}} }] }

Para informações sobre como usar a exibição padrão do console para políticas de chaves, consulte Política de chaves padrão e Alterar uma política de chaves. Para ajuda sobre como escrever e formatar um documento de política JSON, consulte aReferência a políticas JSON do IAM, no Manual do usuário do IAM.

Um documento de política de chaves deve ter um elemento Version. Recomendamos configurar a versão como 2012-10-17 (a versão mais recente). Além disso, um documento de política de chaves deve ter uma ou mais declarações, e cada declaração consiste em até seis elementos:

  • Sid – (Opcional) O Sid é um identificador de declaração, uma string de caracteres arbitrária que você pode usar para identificar a declaração.

  • Efeito – (Necessário) O efeito especifica entre permitir ou negar as permissões na declaração de política. O efeito deve ser Permitir ou Negar. Se você não permitir explicitamente o acesso a uma chave do KMS, esse acesso será implicitamente negado. Também é possível negar explicitamente o acesso a uma chave do KMS. Você poderia fazer isso para garantir que um usuário não possa acessá-la, mesmo quando uma política diferente permite o acesso.

  • Entidade principal – (Necessário) A entidade principal é a identidade à qual as permissões da instrução de política se aplicam. Você pode especificar Contas da AWS (raiz), os usuários do IAM, funções do IAM e alguns serviços da AWS como entidades principais em uma política de chaves. Grupos do IAM não são entidades principais válidas.

    Quando a entidade principal é outra Conta da AWS ou suas entidades principais, as permissões são efetivas somente quando a conta está habilitada na região com a chave do KMS e a política de chaves. Para informações sobre regiões não habilitadas por padrão (“regiões opt-in”), consulte Gerenciar Regiões da AWS , naReferência geral da AWS.

    nota

    Não defina a entidade principal como um asterisco (*) em qualquer instrução de política de chaves que permita permissões, a menos que você utilize condições para limitar a diretiva de chave. Um asterisco dá à cada identidade em cada Conta da AWS permissão para usar a chave do KMS, a menos que outra instrução de política negue essa permissão explicitamente. Usuários em outras Contas da AWS apenas precisam de permissões correspondentes do IAM em suas próprias contas para usar a chave do KMS.

  • Ação – (Necessário) Ações especificam as operações de API que são permitidas ou negadas. Por exemplo, a ação kms:Encrypt corresponde à operação Encrypt do AWS KMS. Você pode listar mais de uma ação em uma declaração de política. Para obter mais informações, consulte AWS KMSReferência de permissões da API do .

  • Recurso – (Necessário) Em uma política de chaves, o valor do elemento Recurso é "*", o que significa “esta chave do KMS”. O asterisco ("*") identifica a chave do KMS à qual a política de chaves está associada.

  • Condição – (Opcional) Condições especificam os requisitos que devem ser atendidos para que a política de chaves tenha efeito. Com condições, a AWS pode avaliar o contexto de uma solicitação de API para determinar se a declaração de política se aplica ou não. Para obter mais informações, consulte Usar condições de política.

Para obter mais informações sobre a sintaxe de políticas do AWS, consulte Referência de políticas do AWS IAM, no Manual do usuário do IAM.

Política de chaves padrão

Política de chaves padrão ao criar uma chave do KMS de forma programática

Ao criar uma chave do KMS de forma programática com a API do AWS KMS (inclusive por meio dos AWS SDKs, da AWS Command Line Interface ou do AWS Tools for PowerShell), você tem a opção de fornecer a política de chaves para a nova chave do KMS. Se você não fornecer uma, o AWS KMS criará um para você. Essa política de chaves padrão tem uma instrução de política que fornece à Conta da AWS (usuário raiz) proprietária da chave do KMS acesso total à chave do KMS e habilita políticas do IAM na conta para permitir acesso à chave do KMS. Para obter mais informações sobre essa declaração de política, consulte Permitir acesso à Conta da AWS e habilita políticas do IAM.

Política de chaves padrão ao criar uma chave do KMS com o AWS Management Console

Quando você cria uma chave do KMS com oAWS Management Console, é possível escolher os usuários do IAM, as funções do IAM e as Contas da AWS que recebem acesso a essa chave do KMS. Os usuários, as funções e as contas que você escolhe são adicionadas a uma política de chaves padrão que o console cria para você. Com o console, você pode usar a visualização padrão para visualizar ou modificar essa política de chaves ou pode trabalhar diretamente com o documento da política de chaves. A política de chaves padrão criada pelo console concede as permissões a seguir, e cada uma é explicada na seção correspondente.

Permissões

Permitir acesso à Conta da AWS e habilita políticas do IAM

A política de chaves padrão concede à Conta da AWS (usuário raiz) que possui a chave do KMS acesso total à chave do KMS, que realiza as duas ações a seguir.

1. Reduz o risco de a chave do KMS perder a capacidade de gerenciamento.

Como não é possível excluir o usuário raiz da Conta da AWS , conceder acesso a esse usuário reduz o risco de a chave do KMS perder a capacidade de gerenciamento. Considere este cenário:

  1. A política de chaves de uma chave do KMS permite que apenas um usuário do IAM, Alice, gerencie a chave do KMS. Esta política de chaves não permite o acesso ao usuário raiz.

  2. Alguém exclui o usuário do IAM, Alice.

Neste cenário, a chave do KMS perdeu a capacidade de gerenciamento, e você precisa entrar em contato com o AWS Support para obter novamente o acesso à chave do KMS. O usuário raiz não tem acesso à chave do KMS, pois ele só pode acessar uma do KMS quando a política de chaves o permite explicitamente. Isso é diferente da maioria dos outros recursos na AWS, que permitem implicitamente o acesso ao usuário raiz.

2. Permite que políticas do IAM controlem o acesso à chave do KMS.

Cada chave do KMS deve ter uma política de chaves. Também é possível usar políticas do IAM para controlar o acesso a uma chave do KMS, mas somente se permitido por essa política. Se a política de chaves não permitir, as políticas do IAM que tentarem controlar o acesso a uma chave do KMS não serão eficazes.

Para permitir que as políticas do IAM controlem o acesso a uma chave do KMS, a política de chaves deve incluir uma instrução de política que forneça acesso total para a Conta da AWS à chave do KMS, como a seguinte. Para obter mais informações, consulte Gerenciar o acesso a chaves do KMS.

O exemplo a seguir mostra a instrução de política que dá acesso total a uma chave do KMS para uma Conta da AWS de exemplo. Essa instrução de política permite que a conta utilize políticas do IAM, juntamente com políticas de chaves, para controlar o acesso à chave do KMS.

Uma instrução de política como esta faz parte da política de chaves padrão.

{ "Sid": "Enable IAM policies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }

Permite que administradores de chaves administrem a chave do KMS

A política de chaves padrão criada pelo console permite que você escolha usuários e funções do IAM na conta e os torne administradores de chaves. Os administradores de chaves têm permissões para gerenciar a chave do KMS, mas não têm permissões para usar essa chave em operações de criptografia.

Atenção

Como eles têm permissão para alterar a política de chaves e criar concessões, podem conceder a eles próprios permissões do AWS KMS não especificadas nessa política.

As entidades principais que têm permissão para gerenciar etiquetas e aliases também podem controlar o acesso a uma chave do KMS. Para obter mais detalhes, consulte Usando o ABAC para o AWS KMS.

Você pode adicionar usuários e funções do IAM à lista de administradores de chaves ao criar a chave do KMS. Você também pode editar a lista com a visualização padrão do console para políticas de chaves, conforme mostrado na imagem a seguir. A exibição padrão para políticas de chaves está disponível na página de detalhes de chaves de cada chave do KMS.


          Administradores de chaves na política de chaves padrão do console, exibição padrão

Quando você usa a exibição padrão do console para modificar a lista de administradores de chaves, o console modifica o elemento Principal em uma declaração específica na política de chaves. Essa declaração é chamada de declaração de administradores de chaves. O exemplo a seguir mostra a declaração de administradores de chaves.

{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/ExampleAdminUser", "arn:aws:iam::111122223333:role/ExampleAdminRole" ]}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }

A declaração de administradores de chaves concede as seguintes permissões:

  • kms:Create* – Permite que os administradores de chaves criem aliases e concessões para essa chave do KMS.

  • kms:Describe* – Permite que os administradores de chaves obtenham informações sobre essa chave do KMS, incluindo seus identificadores, data de criação, estado e muito mais. Você deve ter essa permissão para exibir a página de detalhes da chave no AWS Management Console.

  • kms:Enable* – Permite que administradores de chaves definam o estado da chave do KMS como habilitado. Para chaves do KMS simétricas, ela permite que os administradores de chaves especifiquem a alternância anual do material da chave do KMS.

  • kms:List* – Permite que os administradores de chaves obtenham listas dos aliases, concessões, políticas de chaves e tags dessa chave do KMS. Esta permissão é necessária para visualizar a lista de chaves do KMS no AWS Management Console.

  • kms:Put* – Permite que os administradores de chaves alterem a política de chaves dessa chave do KMS.

  • kms:Update* – Permite que os administradores de chaves alterem o destino de um alias para essa chave do KMS e alterem sua descrição.

  • kms:Revoke* – Permite que os administradores de chaves revoguem as permissões dessa chave do KMS que são permitidas por uma concessão.

  • kms:Disable* – Permite que administradores de chaves definam o estado dessa chave do KMS como desabilitada. Para chaves do KMS simétricas, ela permite que os administradores de chaves desabilitem a alternância anual do material desta chave do KMS.

  • kms:Get* – Permite que os administradores de chaves obtenham a política de chaves dessa chave do KMS e determinem se o material dessa chave terá alternância anual. Para chaves do KMS simétricas com material de chave importado, ela também permite que os administradores de chaves baixem o token de importação e a chave pública de que precisam para importar o material de chave para a chave do KMS. Para chaves do KMS assimétricas, ela permite que os administradores de chaves baixem a chave pública da chave KMS.

  • kms:Delete* – Permite que os administradores de chaves excluam um alias associado a essa chave do KMS. Para chaves do KMS simétricas com material de chave importado, ela permite que o administrador de chaves exclua o material de chaves importado. Observe que essa permissão não permite que os administradores de chaves excluam a chave do KMS.

  • kms:ImportKeyMaterial – Permite que os administradores de chaves importem o material de chaves para a chave do KMS. Essa permissão está incluída na política de chaves somente quando você cria uma chave do KMS sem material de chave.

    nota

    Essa permissão não é exibida no exemplo de declaração de política anterior.

  • kms:TagResource – Permite que os administradores de chaves adicionem e atualizem as tags dessa chave do KMS.

  • kms:UntagResource – Permite que os administradores de chaves removam as tags dessa chave do KMS.

  • kms:ScheduleKeyDeletion – Permite que os administradores de chaves excluam essa chave do KMS.

  • kms:CancelKeyDeletion – Permite que os administradores de chaves cancelem a exclusão pendente dessa chave do KMS.

As duas permissões finais na lista precedente, kms:ScheduleKeyDeletion e kms:CancelKeyDeletion, são incluídas por padrão quando você crie uma chave do KMS. No entanto, você pode removê-las opcionalmente da política de chaves ao criar uma chave do KMS, desmarcando a caixa Permitir que os administradores de chaves excluam esta chave. Da mesma forma, você pode usar a página de detalhes de chaves para removê-las da política de chaves padrão para chaves do KMS existentes. Para obter mais informações, consulte Editar chaves.

Muitas dessas permissões contêm o caractere curinga (*). Isso significa que, quando o AWS KMS adicionar novas operações de API no futuro, os administradores de chaves serão automaticamente permitidos a realizar todas as novas operações de API que comecem com Create, Describe, Enable, List, Put, Update, Revoke, Disable, Get ou Delete.

Permite que os usuários de chaves usem a chave do KMS

A política de chaves padrão que o console cria para chaves do KMS simétricas permite que você escolha usuários e funções do IAM na conta, e em Contas da AWS externas, e os transforme em usuários de chaves.

O console adiciona duas instruções de política à política de chaves para usuários de chaves.

Você pode adicionar usuários do IAM, funções do IAM e outras Contas da AWS à lista de usuários de chaves ao criar a chave do KMS. Você também pode editar a lista com a visualização padrão do console para políticas de chaves, conforme mostrado na imagem a seguir. A visualização padrão para políticas de chaves está na página de detalhes de chaves. Para obter mais informações sobre como permitir que usuários em outras Contas da AWS usem a chave do KMS, consulte Permitir que usuários de outras contas usem uma chave do KMS.


          Usuários de chaves na política de chaves padrão do console, visualização padrão

Quando você usa a visualização padrão do console para alterar a lista de usuários de chaves, o console altera o elemento Principal em duas instruções específicas na política de chaves. Essas declarações são chamadas de declarações de usuários de chaves. Os exemplos a seguir mostram as instruções de usuários de chaves para chaves do KMS simétricas.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/ExampleUser", "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/ExampleUser", "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }

Permite que usuários de chaves usem uma chave do KMS para operações de criptografia

Os usuários de chaves têm permissão para usar a chave do KMS diretamente em todas as operações de criptografia com suporte na chave do KMS. Eles também podem usar a operação DescribeKey para obter informações detalhadas sobre a chave do KMS no console do AWS KMS ou usando as operações de API do AWS KMS.

Por padrão, o console do AWS KMS adiciona as instruções dos usuários de chaves como as dos exemplos a seguir a uma política de chaves padrão. Como elas oferecem suporte a diferentes operações de API, as ações nas instruções de política para chaves do KMS simétricas, chaves do KMS assimétricas para criptografia de chave pública e chaves do KMS assimétricas para assinatura e verificação são ligeiramente diferentes.

Chaves simétricas do KMS

O console adiciona a instrução a seguir à política de chaves para chaves do KMS simétricas.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" }
Chaves do KMS assimétricas para criptografia de chave pública

O console adiciona a seguinte instrução à política de chaves para chaves do KMS assimétricas com um uso de chave de Encrypt and decrypt (Criptografar e descriptografar).

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" }
Chaves do KMS assimétricas para assinatura e verificação

O console adiciona a seguinte instrução à política de chaves para chaves do KMS assimétricas com um uso de chave de Sign and verify (Assinar e verificar).

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" }

As ações nessas instruções concedem aos usuários de chaves algumas das permissões a seguir.

  • kms:Encrypt – Permite que os usuários de chaves criptografem dados com essa chave do KMS.

  • kms:Decrypt – Permite que os usuários de chaves descriptografem dados com essa chave do KMS.

  • kms:DescribeKey – Permite que os usuários de chaves obtenham informações detalhadas sobre essa chave do KMS, incluindo seus identificadores, sua data de criação e seu estado de chave. Ela também permite que os usuários de chaves exibam detalhes sobre a chave do KMS no console do AWS KMS.

  • kms:GenerateDataKey* – Permite que os usuários de chaves solicitem uma chave de dados simétrica ou um par de chaves de dados assimétricas para operações de criptografia no lado do cliente. O console usa o caractere curinga * para representar permissão para as seguintes operações de API: GenerateDataKey, GenerateDataKeyWithoutPlaintext, GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext.

  • kms:GetPublicKey – Permite que os usuários de chaves baixem a chave pública da chave do KMS assimétrica. As partes com quem você compartilha essa chave pública podem criptografar dados fora do AWS KMS. No entanto, esses textos cifrados só podem ser descriptografados chamando a operação Decrypt no AWS KMS.

  • kms:ReEncrypt* – Permite que os usuários de chaves recriptografem os dados que foram originalmente criptografados com essa chave do KMS ou permite que eles usem essa chave do KMS para criptografar novamente dados já criptografados. A operação ReEncrypt exige acesso às chaves do KMS de origem e de destino. Para fazer isso, é possível conceder a permissão kms:ReEncryptFrom na chave do KMS de origem e a permissão kms:ReEncryptTo na chave do KMS de destino. No entanto, para simplificar, o console permite kms:ReEncrypt* (com o caractere curinga *) nas duas chaves do KMS.

  • kms:Sign – Permite que os usuários de chaves assinem mensagens com essa chave do KMS.

  • kms:Verify – Permite que os usuários de chaves verifiquem assinaturas com essa chave do KMS.

Permite que os usuários de chaves usem a chave do KMS com serviços da AWS

A política de chaves padrão no console também concede aos usuários de chaves permissão para que os serviços da AWS integrados ao AWS KMS usem a chave do KMS, principalmente os serviços que usam concessões.

Os usuários de chaves podem conceder permissões implicitamente a esses serviços para usar a chave do KMS de formas específicas e limitadas. Essa delegação implícita é feita por meio de concessões. Essas concessões permitem que o serviço da AWS integrado use a chave do KMS para proteger recursos na conta.

{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/TestUser"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }

Por exemplo, os usuários de chaves podem usar essas permissões na chave do KMS das maneiras indicadas a seguir.

  • Use essa chave do KMS com o Amazon Elastic Block Store (Amazon EBS) e com o Amazon Elastic Compute Cloud (Amazon EC2) para anexar um volume do EBS criptografado a uma instância do EC2. O usuário de chaves concede implicitamente permissão ao Amazon EC2 para usar a chave do KMS com o objetivo de associar o volume criptografado à instância. Para obter mais informações, consulte Como o Amazon Elastic Block Store (Amazon EBS) usa o AWS KMS.

  • Use essa chave do KMS com o Amazon Redshift para executar um cluster criptografado. O usuário de chaves concede implicitamente permissão ao Amazon RedShift para usar a chave do KMS para executar o cluster criptografado e criar snapshots criptografados. Para obter mais informações, consulte Como o Amazon Redshift usa o AWS KMS.

  • Use essa chave do KMS com outros serviços da AWS integrados ao AWS KMS, especialmente os serviços que usam concessões, para criar, gerenciar ou usar recursos criptografados com esses serviços.

A chave de condição kms:GrantIsForAWSResource permite que os usuários de chaves criem e gerenciem concessões, mas somente quando o favorecido é um serviço da AWS que usa concessões. A permissão permite que os usuários de chaves usem todos os serviços integrados que usam concessões. No entanto, é possível criar uma política de chaves personalizada que permita que serviços específicos da AWS usem a chave do KMS em nome dos usuários de chaves. Para obter mais informações, consulte a kms:ViaService chave de condição.

Os usuários de chaves precisam dessas permissões de concessão para usar a chave do KMS com os serviços integrados, mas essas permissões não são suficientes. Os usuários de chaves também precisam de permissão para usar os serviços integrados. Para obter detalhes sobre como conceder acesso aos usuários para um serviço da AWS integrado ao AWS KMS, consulte a documentação do serviço integrado.

Política de chaves de exemplo

O exemplo a seguir mostra uma política de chaves completa para uma chave do KMS simétrica. Esta política de chaves combina as declarações da política de exemplo da seção anterior de política de chaves padrão em uma política de chaves única que faz o seguinte:

  • Concede à Conta da AWS (usuário raiz) 111122223333 acesso total à chave do KMS e, portanto, habilita políticas do IAM na conta para conceder acesso à chave do KMS.

  • Permite que o usuário do IAM ExampleAdminUser e a função do IAM ExemploAdminRole administrem a chave do KMS.

  • Permite que o usuário do IAMExampleKeyUser, a função do IAM ExemploKeyRole e a Conta da AWS 444455556666 usem a chave do KMS.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-2", "Statement": [ { "Sid": "Enable IAM policies", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/ExampleAdminUser", "arn:aws:iam::111122223333:role/ExampleAdminRole" ]}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/ExampleKeyUser", "arn:aws:iam::111122223333:role/ExampleKeyRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/ExampleKeyUser", "arn:aws:iam::111122223333:role/ExampleKeyRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

A imagem a seguir mostra um exemplo da aparência desta política de chaves quando visualizada com a visualização padrão do console para políticas de chaves.


        Política de chaves na visualização padrão do console para políticas de chaves