Permissões de AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de AWS KMS

A tabela de permissões do AWS KMS lista as permissões para cada operação do para que você possa usá-las corretamente em AWS KMSpolíticas de chaves e políticas do IAM.

Importante

Tenha cuidado ao conceder aos principais permissão para criar e gerenciar as políticas e concessões que controlam o acesso à sua chaves mestras do cliente (CMKs). Os principais que têm permissão para gerenciar tags e aliases também podem controlar o acesso a uma CMK. Para obter mais detalhes, consulte Usar ABAC para oAWS KMS.

nota

Talvez seja necessário rolar horizontal e verticalmente para ver todos os dados dessa tabela.

Ações e permissões Tipo de política Recursos (para políticas do IAM) Chaves de condição do AWS KMS

CancelKeyDeletion

kms:CancelKeyDeletion

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

Política do IAM

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

Para usar essa operação, o chamador precisa da permissão kms:CreateAlias em dois recursos:

  • O alias (em uma política do IAM)

  • A CMK (em uma política de chaves)

Para obter mais detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para as CMK)

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

Política do IAM

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

Política de chaves

CMK

Condições de contexto de criptografia:

kms:EncryptionContext:

kms:EncryptionContextKeys

Condições de concessão:

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

CreateKey

kms:CreateKey

Política do IAM

*

kms:BypassPolicyLockoutSafetyCheck

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

aws:RequestTag (chave de condição global da AWS)

Decrypt

kms:Decrypt

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DeleteAlias

kms:DeleteAlias

Para usar essa operação, o chamador precisa da permissão kms:DeleteAlias em dois recursos:

  • O alias (em uma política do IAM)

  • A CMK (em uma política de chaves)

Para obter mais detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para as CMK)

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

Política do IAM

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

Política do IAM

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Outras condições:

alias do kms:Request

DisableKey

kms:DisableKey

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

Política do IAM

*

kms:CallerAccount

EnableKey

kms:EnableKey

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

Política de chaves

CMK (somente simétrica)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Encrypt

kms:Encrypt

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

Política de chaves

CMK (somente simétrica)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

Política de chaves

CMK (somente simétrica)

GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext geram um par de chaves de dados assimétricas que é protegido por uma CMK simétrica.

Condições para pares de chaves de dados:

kms:DataKeyPairSpec

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

Política de chaves

CMK (somente simétrica)

GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext geram um par de chaves de dados assimétricas que é protegido por uma CMK simétrica.

Condições para pares de chaves de dados:

kms:DataKeyPairSpec

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

Política de chaves

CMK (somente simétrica)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GenerateRandom

kms:GenerateRandom

Política do IAM

*

Nenhum

GetKeyPolicy

kms:GetKeyPolicy

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

Política de chaves

CMK (somente simétrica)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

Política de chaves

CMK (somente simétrica)

kms:WrappingAlgorithm

kms:WrappingKeySpec

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GetPublicKey

kms:GetPublicKey

Política de chaves

CMK (somente assimétrica)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Outras condições:

alias do kms:Request

ImportKeyMaterial

kms:ImportKeyMaterial

Política de chaves

CMK (somente simétrica)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Outras condições:

kms:ExpirationModel

kms:ValidTo

ListAliases

kms:ListAliases

Política do IAM

*

Nenhum

ListGrants

kms:ListGrants

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Outras condições:

kms:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ListKeys

kms:ListKeys

Política do IAM

*

Nenhum

ListResourceTags

kms:ListResourceTags

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

Política do IAM

*

Nenhum

PutKeyPolicy

kms:PutKeyPolicy

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Outras condições:

kms:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

Para usar essa operação, o chamador precisa de permissão em duas CMKs:

  • kms:ReEncryptFrom na CMK usada para descriptografar

  • kms:ReEncryptTo na CMK usada para criptografar

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Outras condições:

kms:ReEncryptOnSameKey

RetireGrant

kms:RetireGrant

A permissão para desativar uma concessão é determinada principalmente pela concessão. Uma política por si só não pode permitir o acesso a essa operação. Para obter mais informações, consulte Desativar e revogar concessões.

Política de chaves

CMK

alias de kms:Resource

aws:ResourceTag (chave de condição global da AWS)

RevokeGrant

kms:RevokeGrant

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Outras condições:

kms:GrantIsForAWSResource

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Sign

kms:Sign

Política de chaves

CMK (somente assimétrica)

Condições para assinatura e verificação:

kms:MessageType

kms:SigningAlgorithm

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

TagResource

kms:TagResource

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Condições para marcação:

aws:RequestTag (chave de condição global da AWS)

aws:TagKeys (chave de condição global da AWS)

UntagResource

kms:UntagResource

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Condições para marcação:

aws:RequestTag (chave de condição global da AWS)

aws:TagKeys (chave de condição global da AWS)

UpdateAlias

kms:UpdateAlias

Para usar essa operação, o chamador precisa da permissão kms:UpdateAlias em três recursos:

  • O alias

  • A CMK associada atualmente

  • A CMK recém-associada

Para obter mais detalhes, consulte Controlar o acesso a aliases.

Política do IAM (para o alias)

Alias

Nenhum (quando controlar o acesso ao alias)

Política de chaves (para as CMKs)

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

Política do IAM

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

Política de chaves

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Verificar

kms:Verify

Política de chaves

CMK (somente assimétrica)

Condições para assinatura e verificação:

kms:MessageType

kms:SigningAlgorithm

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

As colunas nesta tabela fornecem as seguintes informações:

  • Ações e permissões lista cada operação de API do AWS KMS e a permissão que permite a operação. Especifique a operação no elemento Action de uma declaração de política.

  • Tipo de política indica se a permissão pode ser usada em uma política de chaves ou uma política do IAM.

    Política de chaves do significa que você pode especificar a permissão na política de chaves. Quando a política de chaves contém a declaração de política que permite as políticas do IAM, você pode especificar a permissão em uma política do .IAM

    Política do significa que você pode especificar a permissão somente em uma política do IAM.IAM

  • Recursos lista os recursos do AWS KMS aos quais as permissões se aplicam. O AWS KMS é compatível com dois tipos de recursos: uma Chave mestra do cliente (CMK) e um alias. Em uma política de chaves, o valor do elemento Resource é sempre *, o que indica a CMK à qual a política de chaves está anexada.

    Use os valores a seguir para representar um recurso do AWS KMS em uma política do IAM.

    CMK

    Quando o recurso for uma Chave mestra do cliente (CMK), use seu ARN de chave. Para obter ajuda, consulte Encontrar o ID de chave e o ARN.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    Por exemplo:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    Alias

    Quando o recurso for um alias, use seu ARN do alias. Para obter ajuda, consulte Encontrar o nome e o ARN do alias.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    Por exemplo:

    arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

    * (asterisco)

    Quando a permissão não se aplica a um recurso específico (CMK ou alias), use um asterisco (*).

    Em uma política do IAM para uma permissão do AWS KMS, um asterisco no elemento Resource indica todos os recursos do AWS KMS (CMKs e aliases). Também é possível usar um asterisco no elemento Resource quando a permissão do AWS KMS não se aplicar a quaisquer CMKs ou a aliases específicos. Por exemplo, ao permitir ou negar kms:CreateKey ou ao permitir kms:ListKeys, é possível definir o elemento Resource como * ou como uma variação específica da conta, por exemplo, arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*.

  • Chaves de condição do AWS KMS O lista as chaves de condição do AWS KMS que você pode usar para limitar uma permissão. Especifique as condições no elemento Condition de uma política. Essa coluna também inclui chaves de condição global da AWS as quais têm suporte no AWS KMS, mas não em todos os serviços da AWS.