Alterar uma política de chaves - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterar uma política de chaves

Você pode alterar a política de chaves de uma chave KMS na sua Conta da AWS usando a AWS Management Console ou a PutKeyPolicyoperação. Não é possível usar essas técnicas para alterar a política de chaves de uma chave do KMS em outra Conta da AWS.

Ao alterar a política de chaves, lembre-se das seguintes regras:

  • É possível visualizar a política de chaves de uma Chave gerenciada pela AWS ou de uma chave gerenciada pelo cliente, mas só é possível alterar a política de chaves de uma chave gerenciada pelo cliente. As políticas de Chaves gerenciadas pela AWS são criadas e gerenciadas pelo serviço da AWS que criou a chave do KMS na sua conta. Não é possível visualizar ou alterar a política de chaves para uma Chave pertencente à AWS.

  • Você pode adicionar ou remover usuários do IAM, funções do IAM e Contas da AWS na política de chaves e alterar as ações permitidas ou negadas para essas entidades principais. Para mais informações sobre as maneiras de especificar principais e permissões em uma política de chaves, consulte Políticas de chaves.

  • Não é possível adicionar grupos do IAM a uma política de chaves, mas é possível adicionar diversos usuários do IAM e perfis do IAM. Para ter mais informações, consulte Permitir que diversas entidades principais do IAM acessem uma chave do KMS.

  • Se você adicionar Contas da AWS externas a uma política de chaves, será necessário também usar políticas do IAM nessas contas externas para conceder permissões a usuários, grupos ou funções do IAM nessas contas. Para ter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

  • O documento de política de chaves resultante não pode exceder 32 KB (32.768 bytes).

Como alterar uma política de chaves

Você pode alterar uma política de chaves de três maneiras diferentes, conforme explicado nas seções a seguir.

Usar a visualização padrão do AWS Management Console

Você pode usar o console para alterar uma política de chaves com uma interface gráfica chamada visualização padrão.

Se as seguintes etapas não correspondem à visualização no console, isso significa que essa política de chaves não foi criada pelo console. Ou significa que a política de chaves foi modificada e é incompatível com a visualização padrão do console. Nesse caso, siga as etapas em Usar a visualização de política do AWS Management Console ou Uso da API AWS KMS.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Visualizar uma política de chaves (console). (Você não pode alterar a política de chave de Chaves gerenciadas pela AWS.)

  2. Defina o que alterar.

    • Para adicionar ou remover administradores de chaves e permitir ou impedir que eles excluam a chave do KMS, use os controles na seção Key administrators (Administradores de chaves) da página. Os administradores de chaves gerenciam a chave do KMS, incluindo sua habilitação e desabilitação, a configuração da política de chaves e a habilitação da alternância de chaves.

    • Para adicionar ou remover usuários de chaves e permitir ou proibir que Contas da AWS externas usem a chave do KMS, use os controles na seção Key users (Usuários de chaves) da página. Usuários de chaves podem usar a chave do KMS em operações de criptografia, como criptografar, descriptografar, recriptografar e gerar chaves de dados.

Usar a visualização de política do AWS Management Console

Você pode usar o console para alterar um documento de política de chaves com a visualização de política do console.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Visualizar uma política de chaves (console). (Você não pode alterar a política de chave de Chaves gerenciadas pela AWS.)

  2. Na seção Key Policy (Política de chave), selecione Switch to policy view (Alternar para visualização de política).

  3. Edite o documento de política de chaves e selecione Save changes (Salvar alterações).

Uso da API AWS KMS

Você pode usar a PutKeyPolicyoperação para alterar a política de chaves de uma chave KMS no seuConta da AWS. Não é possível usar essa API em uma chave do KMS em outra Conta da AWS.

  1. Use a GetKeyPolicyoperação para obter o documento de política de chaves existente e, em seguida, salve o documento de política de chaves em um arquivo. Para obter o código de exemplo em várias linguagens de programação, consulte Obter uma política de chaves.

  2. Abra o documento de política de chaves no editor de texto de sua preferência, edite-o e salve o arquivo.

  3. Use a PutKeyPolicyoperação para aplicar o documento de política de chaves atualizado à chave KMS. Para obter o código de exemplo em várias linguagens de programação, consulte Definir uma política de chaves.

Para ver um exemplo de cópia de uma política de chaves de uma chave KMS para outra, consulte o GetKeyPolicy exemplo na Referência de AWS CLI Comandos.

Permitir que diversas entidades principais do IAM acessem uma chave do KMS

Grupos do IAM não são entidades principais válidas em uma política de chaves. Para permitir que diversos usuários e perfis acessem uma chave do KMS, siga um dos procedimentos a seguir:

  • Use um perfil do IAM como entidade principal na política de chaves. Diversos usuários autorizados podem assumir o perfil, conforme necessário. Para obter detalhes, consulte Perfis do IAM no Guia do usuário do IAM.

    Embora você possa listar diversos usuários do IAM em uma política de chaves, essa prática não é recomendada porque requer que você atualize a política de chaves sempre que a lista de usuários autorizados for alterada. Além disso, as práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

  • Use uma política do IAM para conceder permissões a um grupo do IAM. Para fazer isso, certifique-se de que a política de chaves inclua a instrução que possibilita que as políticas do IAM concedam acesso à chave do KMS, crie uma política do IAM que conceda acesso à chave do KMS e, em seguida, vincule essa política a um grupo do IAM que contenha os usuários do IAM autorizados. Com essa abordagem, você não precisará alterar nenhuma política quando a lista de usuários autorizados for alterada. Basta adicionar ou remover esses usuários do grupo do IAM apropriado. Para obter detalhes, consulte Grupos de usuários do IAM no Guia do usuário do IAM.

Para obter mais informações sobre como as políticas de chaves do AWS KMS e as políticas do IAM funcionam juntas, consulte Solucionar problemas de acesso à chave.