Alterar uma política de chaves - AWS Key Management Service

Alterar uma política de chaves

É possível alterar a política de chaves de uma chave do KMS na Conta da AWS usando o AWS Management Console ou a operação PutKeyPolicy. Não é possível usar essas técnicas para alterar a política de chaves de uma chave do KMS em outra Conta da AWS.

Ao alterar a política de chaves, lembre-se das seguintes regras:

  • É possível visualizar a política de chaves de uma Chave gerenciada pela AWS ou de uma chave gerenciada pelo cliente, mas só é possível alterar a política de chaves de uma chave gerenciada pelo cliente. As políticas de Chaves gerenciadas pela AWS são criadas e gerenciadas pelo serviço da AWS que criou a chave do KMS na sua conta. Não é possível visualizar ou alterar a política de chaves para uma Chave pertencente à AWS.

  • Você pode adicionar ou remover usuários do IAM, funções do IAM e Contas da AWS na política de chaves e alterar as ações permitidas ou negadas para essas entidades principais. Para mais informações sobre as maneiras de especificar principais e permissões em uma política de chaves, consulte Políticas de chaves.

  • Você não pode adicionar grupos do IAM a uma política de chaves, mas pode adicionar vários usuários do IAM. Para obter mais informações, consulte . Permitir que vários usuários do IAM acessem uma chave do KMS.

  • Se você adicionar Contas da AWS externas a uma política de chaves, será necessário também usar políticas do IAM nessas contas externas para conceder permissões a usuários, grupos ou funções do IAM nessas contas. Para obter mais informações, consulte . Permitir que usuários de outras contas usem uma chave do KMS.

  • O documento de política de chaves resultante não pode exceder 32 KB (32.768 bytes).

Como alterar uma política de chaves

Você pode alterar uma política de chaves de três maneiras diferentes, conforme explicado nas seções a seguir.

Usar a visualização padrão do AWS Management Console

Você pode usar o console para alterar uma política de chaves com uma interface gráfica chamada visualização padrão.

Se as seguintes etapas não correspondem à visualização no console, isso significa que essa política de chaves não foi criada pelo console. Ou significa que a política de chaves foi modificada e é incompatível com a visualização padrão do console. Nesse caso, siga as etapas em Usar a visualização de política do AWS Management Console ou Uso da API AWS KMS.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Visualizar uma política de chaves (console). (Você não pode alterar a política de chave de Chaves gerenciadas pela AWS.)

  2. Defina o que alterar.

    • Para adicionar ou remover administradores de chaves e permitir ou impedir que eles excluam a chave do KMS, use os controles na seção Key administrators (Administradores de chaves) da página. Os administradores de chaves gerenciam a chave do KMS, incluindo sua habilitação e desabilitação, a configuração da política de chaves e a habilitação da alternância de chaves.

    • Para adicionar ou remover usuários de chaves e permitir ou proibir que Contas da AWS externas usem a chave do KMS, use os controles na seção Key users (Usuários de chaves) da página. Usuários de chaves podem usar a chave do KMS em operações de criptografia, como criptografar, descriptografar, recriptografar e gerar chaves de dados.

Usar a visualização de política do AWS Management Console

Você pode usar o console para alterar um documento de política de chaves com a visualização de política do console.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Visualizar uma política de chaves (console). (Você não pode alterar a política de chave de Chaves gerenciadas pela AWS.)

  2. Na seção Key Policy (Política de chaves), selecione Switch to policy view (Alternar para visualização de política).

  3. Edite o documento de política de chaves e selecione Save changes (Salvar alterações).

Uso da API AWS KMS

É possível usar a operação PutKeyPolicy para alterar a política de chaves de uma chave do KMS na sua Conta da AWS. Não é possível usar essa API em uma chave do KMS em outra Conta da AWS.

  1. Use a operação GetKeyPolicy para obter o documento da política de chaves existente e salve o documento da política de chaves em um arquivo. Para obter o código de exemplo em várias linguagens de programação, consulte Obter uma política de chaves.

  2. Abra o documento de política de chaves no editor de texto de sua preferência, edite-o e salve o arquivo.

  3. Use a operação PutKeyPolicy para aplicar o documento da política de chaves atualizado à chave do KMS. Para obter o código de exemplo em várias linguagens de programação, consulte Definir uma política de chaves.

Para obter um exemplo de como copiar uma política de chaves de uma chave do KMS para outra, consulte o exemplo de GetKeyPolicy na Referência de comandos da AWS CLI.

Permitir que vários usuários do IAM acessem uma chave do KMS

Grupos do IAM não são entidades principais válidas em uma política de chaves. Para permitir que vários usuários do IAM acessem uma chave do KMS, siga um destes procedimentos:

  • Adicione cada usuário do IAM à política de chaves. Essa abordagem requer que você atualize a política de chaves toda vez que a lista de usuários autorizados for alterada.

  • Certifique-se de que a política de chaves inclua a instrução que permite que as políticas do IAM concedam acesso à chave do KMS. Em seguida, crie uma política do IAM que conceda acesso à chave do KMS e anexe essa política a um grupo do IAM que contém os usuários autorizados do IAM. Com essa abordagem, você não precisará alterar nenhuma política quando a lista de usuários autorizados for alterada. Basta adicionar ou remover esses usuários do grupo do IAM apropriado.

Para obter mais informações sobre como as políticas de chaves do AWS KMS e as políticas do IAM funcionam juntas, consulte Solucionar problemas de acesso à chave.