As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do AWS Key Management Service
O AWS Key Management Service (prefixo de serviço: kms) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS Key Management Service
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| CancelKeyDeletion | Controla a permissão para cancelar a exclusão programada de uma chave KMS da AWS | Gravação | |||
| ConnectCustomKeyStore | Controla a permissão para conectar ou reconectar um armazenamento de chaves personalizado ao cluster associado do AWS CloudHSM ou a um gerenciador de chaves externo fora da AWS | Gravação | |||
| CreateAlias | Controla a permissão para criar um alias para uma chave KMS da AWS. Aliases são nomes amigáveis opcionais que você pode associar às chaves KMS | Gravação | |||
| CreateCustomKeyStore | Controla a permissão para criar um armazenamento de chaves personalizado com o suporte de um cluster do AWS CloudHSM ou de um gerenciador de chaves externo fora da AWS | Gravação |
cloudhsm:DescribeClusters iam:CreateServiceLinkedRole |
||
| CreateGrant | Controla a permissão para adicionar uma concessão a uma chave KMS da AWS. Você pode usar concessões para adicionar permissões sem alterar a política de chaves ou a política do IAM | Gerenciamento de permissões | |||
| CreateKey | Controla a permissão para criar chave do AWS KMS que pode ser usada para proteger chaves de dados e outras informações sigilosas | Gravação |
iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource |
||
| Decrypt | Controla a permissão para descriptografar texto cifrado que foi criptografado com uma chave KMS da AWS | Gravação | |||
|
kms:EncryptionContext:${EncryptionContextKey} |
|||||
| DeleteAlias | Controla a permissão para excluir um alias. Aliases são nomes amigáveis opcionais que você pode associar às chaves KMS da AWS | Gravação | |||
| DeleteCustomKeyStore | Controla a permissão para excluir um armazenamento de chaves personalizado | Gravação | |||
| DeleteImportedKeyMaterial | Controla a permissão para excluir material criptográfico que você importou para uma chave KMS da AWS. Esta ação torna a chave inutilizável | Write | |||
| DescribeCustomKeyStores | Controla a permissão para exibir informações detalhadas sobre armazenamentos de chaves personalizadas na conta e região | Leitura | |||
| DescribeKey | Controla a permissão para visualizar informações detalhadas sobre uma chave KMS da AWS | Leitura | |||
| DisableKey | Controla a permissão para desabilitar uma chave KMS da AWS, o que impede que ela seja usada em operações criptográficas | Gravação | |||
| DisableKeyRotation | Controla a permissão para desabilitar a alternância automática de uma chave do AWS KMS gerenciada pelo cliente | Gravação | |||
| DisconnectCustomKeyStore | Controla a permissão para desconectar o armazenamento de chaves personalizado do cluster associado do AWS CloudHSM ou de um gerenciador de chaves externo fora da AWS | Gravação | |||
| EnableKey | Controla a permissão para alterar o estado de uma chave do AWS KMS para habilitada. Isso permite que a chave KMS seja usada em operações criptográficas | Gravação | |||
| EnableKeyRotation | Controla a permissão para habilitar a alternância automática do material criptográfico em uma chave KMS da AWS | Gravação | |||
| Encrypt | Controla a permissão para usar a chave do AWS KMS especificada para criptografar dados e chaves de dados | Gravação | |||
| GenerateDataKey | Controla a permissão para usar a chave do AWS KMS para gerar chaves de dados. Você pode usar as chaves de dados para criptografar dados fora do AWS KMS | Gravação | |||
|
kms:EncryptionContext:${EncryptionContextKey} |
|||||
| GenerateDataKeyPair | Controla a permissão para usar a chave do AWS KMS para gerar pares de chaves de dados | Gravação | |||
| GenerateDataKeyPairWithoutPlaintext | Controla a permissão para usar a chave do AWS KMS para gerar pares de chaves de dados. Ao contrário da operação GenerateDataKeyPair, esta operação retorna uma chave privada criptografada sem uma cópia de texto simples | Gravação | |||
| GenerateDataKeyWithoutPlaintext | Controla a permissão para usar a chave do AWS KMS para gerar uma chave de dados. Ao contrário da operação GenerateDataKey, esta operação retorna uma chave de dados criptografada sem uma versão em texto simples da chave de dados | Gravação | |||
| GenerateMac | Controla a permissão para usar a chave do AWS KMS para gerar códigos de autenticação de mensagens | Gravação | |||
| GenerateRandom | Controla a permissão para obter uma string de bytes aleatória criptograficamente segura do AWS KMS | Gravação | |||
| GetKeyPolicy | Controla a permissão para visualizar a política de chaves para a chave do AWS KMS especificada | Leitura | |||
| GetKeyRotationStatus | Controla a permissão para determinar se a alternância automática de chaves está habilitada na chave KMS da AWS | Leitura | |||
| GetParametersForImport | Controla a permissão para obter dados necessários para importar material criptográfico para uma chave gerenciada pelo cliente, incluindo uma chave pública e um token de importação | Leitura | |||
| GetPublicKey | Controla a permissão para baixar a chave pública de uma chave do AWS KMS assimétrica | Leitura | |||
| ImportKeyMaterial | Controla a permissão para importar material criptográfico para uma chave KMS da AWS | Gravação | |||
| ListAliases | Controla a permissão para visualizar os alias definidos na conta. Aliases são nomes amigáveis opcionais que você pode associar às chaves KMS da AWS | Listar | |||
| ListGrants | Controla a permissão para visualizar todas as concessões para uma chave KMS da AWS | Listar | |||
| ListKeyPolicies | Controla a permissão para visualizar os nomes das políticas de chave para uma chave KMS da AWS | Listar | |||
| ListKeys | Controla a permissão para visualizar o ID de chave e o nome do recurso da Amazon (ARN) de todas as chaves do AWS KMS na conta | Listar | |||
| ListResourceTags | Controla a permissão para visualizar todas as etiquetas anexadas a uma chave do AWS KMS | Listar | |||
| ListRetirableGrants | Controla a permissão para visualizar concessões nas quais a entidade principal especificada é a entidade principal que está sendo desativada. Outros primários talvez consigam retirar a concessão e este principal talvez possa retirar outras concessões | Listar | |||
| PutKeyPolicy | Controla a permissão para substituir a política de chaves para a chave do AWS KMS especificada | Gerenciamento de permissões | |||
| ReEncryptFrom | Controla a permissão para descriptografar dados como parte do processo que descriptografa e criptografa novamente os dados no AWS KMS | Write | |||
| ReEncryptTo | Controla a permissão para criptografar dados como parte do processo que descriptografa e criptografa novamente os dados no AWS KMS | Write | |||
| ReplicateKey | Controla a permissão para replicar uma chave primária de várias regiões | Write |
iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource |
||
| RetireGrant | Controla a permissão para desativar uma concessão. A operação RetireGrant geralmente é chamada pelo usuário de concessão após concluir as tarefas que a concessão permitiu que eles realizassem | Permissions management | |||
| RevokeGrant | Controla a permissão para revogar uma concessão, que nega permissão para todas as operações que dependem da concessão | Gerenciamento de permissões | |||
| ScheduleKeyDeletion | Controla a permissão para programar a exclusão de uma chave KMS da AWS | Gravação | |||
| Sign | Controla a permissão para produzir uma assinatura digital para uma mensagem | Write | |||
| SynchronizeMultiRegionKey [somente permissão] | Controla o acesso a APIs internas que sincronizam chaves de várias regiões | Gravação | |||
| TagResource | Controla a permissão para criar ou atualizar etiquetas anexadas a uma chave do AWS KMS | Marcação | |||
| UntagResource | Controla a permissão para excluir as etiquetas anexadas a uma chave do AWS KMS | Marcação | |||
| UpdateAlias | Controla a permissão para associar um alias a outra chave KMS da AWS. Um alias é um nome amigável opcional que você pode associar a uma chave KMS | Gravação | |||
| UpdateCustomKeyStore | Controla a permissão para alterar as propriedades de um armazenamento de chaves personalizado | Gravação | |||
| UpdateKeyDescription | Controla a permissão para excluir ou alterar a descrição de uma chave KMS da AWS | Gravação | |||
| UpdatePrimaryRegion | Controla a permissão para atualizar a região primária de uma chave primária de várias regiões | Gravação | |||
| Verify | Controla a permissão para usar a chave do AWS KMS especificada para verificar assinaturas digitais | Gravação | |||
| VerifyMac | Controla a permissão para usar a chave do AWS KMS para verificar códigos de autenticação de mensagens | Gravação | |||
Tipos de recursos definidos pelo AWS Key Management Service
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
Chaves de condição do AWS Key Management Service
O AWS Key Management Service define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso a operações especificadas do AWS KMS com base na chave e no valor da etiqueta na solicitação | Segmento |
| aws:ResourceTag/${TagKey} | Filtra o acesso às operações especificadas do AWS KMS com base em etiquetas atribuídas à chave do AWS KMS | Segmento |
| aws:TagKeys | Filtra o acesso a operações especificadas do AWS KMS com base em chaves de etiqueta na solicitação | ArrayOfString |
| kms:BypassPolicyLockoutSafetyCheck | Filtra o acesso às operações CreateKey e PutKeyPolicy com base no valor do parâmetro BypassPolicyLockoutSafetyCheck na solicitação | Bool |
| kms:CallerAccount | Filtra o acesso às operações especificadas do AWS KMS com base no ID da Conta da AWS do chamador. Você pode usar essa chave de condição para permitir ou negar acesso a todos os usuários e funções do IAM em uma Conta da AWS em uma única instrução de política | Segmento |
| kms:CustomerMasterKeySpec | A chave de condição kms:CustomerMasterKeySpec está defasada. Em vez disso, use a chave de condição kms:KeySpec | Segmento |
| kms:CustomerMasterKeyUsage | A chave de condição kms:CustomerMasterKeyUsage está defasada. Em vez disso, use a chave de condição kms:KeyUsage | Segmento |
| kms:DataKeyPairSpec | Filtra o acesso às operações GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext com base no valor do parâmetro KeyPairSpec da solicitação. | String |
| kms:EncryptionAlgorithm | Filtra o acesso às operações de criptografia com base no valor do algoritmo de criptografia na solicitação | Segmento |
| kms:EncryptionContext:${EncryptionContextKey} | Filtra o acesso a uma chave do AWS KMS simétrica com base no contexto de criptografia em uma operação de criptografia. Essa condição avalia a chave e o valor em cada par de contexto de criptografia de chave-valor | Segmento |
| kms:EncryptionContextKeys | Filtra o acesso a uma chave do AWS KMS simétrica com base no contexto de criptografia em uma operação de criptografia. Essa chave de condição avalia somente a chave em cada par de contexto de criptografia de chave-valor | ArrayOfString |
| kms:ExpirationModel | Filtra o acesso à operação ImportKeyMaterial com base no valor do parâmetro ExpirationModel na solicitação | String |
| kms:GrantConstraintType | Filtra o acesso à operação CreateGrant com base na restrição de concessão na solicitação | String |
| kms:GrantIsForAWSResource | Filtra o acesso à operação CreateGrant quando a solicitação vem de um produto da AWS especificado | Bool |
| kms:GrantOperations | Filtra o acesso à operação CreateGrant com base nas operações da concessão | ArrayOfString |
| kms:GranteePrincipal | Filtra o acesso à operação CreateGrant com base no principal do beneficiário na concessão | Segmento |
| kms:KeyOrigin | Filtra o acesso a uma operação de API com base na propriedade Origin da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para uma chave KMS | Segmento |
| kms:KeySpec | Filtra o acesso a uma operação de API com base na propriedade KeySpec da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS | Segmento |
| kms:KeyUsage | Filtra o acesso a uma operação de API com base na propriedade de KeyUsage da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS | Segmento |
| kms:MacAlgorithm | Filtra o acesso às operações GenerateMac e VerifyMac com base no parâmetro MacAlgorithm da solicitação | Segmento |
| kms:MessageType | Filtra o acesso às operações Sign and Verify com base no valor do parâmetro MessageType na solicitação | Segmento |
| kms:MultiRegion | Filtra o acesso a uma operação de API com base na propriedade MultiRegion da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS | Bool |
| kms:MultiRegionKeyType | Filtra o acesso a uma operação de API com base na propriedade MultiRegionKeyType da chave do AWS KMS criada ou usada na operação. Use para qualificar a autorização da operação CreateKey ou de qualquer operação autorizada para um recurso da chave KMS | Segmento |
| kms:PrimaryRegion | Filtra o acesso à operação UpdatePrimaryRegion com base no valor do parâmetro PrimaryRegion na solicitação | Segmento |
| kms:ReEncryptOnSameKey | Filtra o acesso à operação ReEncrypt quando usa a mesma chave do AWS KMS usada para a operação Encrypt | Bool |
| kms:RecipientAttestation:ImageSha384 | Filtra o acesso às operações Decrypt, GenerateDataKey e GenerateRandom com base no hash de imagem do documento de atestado da solicitação | Segmento |
| kms:RecipientAttestation:PCR | Filtra o acesso às operações Decrypt, GenerateDataKey e GenerateRandom com base nos registros de configuração de plataforma (PCRs) no documento de atestado na solicitação | Segmento |
| kms:ReplicaRegion | Filtra o acesso à operação ReplicateKey com base no valor do parâmetro ReplicaRegion na solicitação | String |
| kms:RequestAlias | Filtra o acesso a operações criptográficas, DescribeKey e GetPublicKey com base no alias na solicitação | Segmento |
| kms:ResourceAliases | Filtra o acesso às operações do AWS KMS especificadas com base em aliases associados à chave do AWS KMS | ArrayOfString |
| kms:RetiringPrincipal | Filtra o acesso à operação CreateGrant com base no principal de retirada na concessão | Segmento |
| kms:ScheduleKeyDeletionPendingWindowInDays | Filtra o acesso à operação ScheduleKeyDeletion com base no valor do parâmetro PendingWindowInDays na solicitação | Numérico |
| kms:SigningAlgorithm | Filtra o acesso às operações Sign and Verify com base no algoritmo de assinatura na solicitação | String |
| kms:ValidTo | Filtra o acesso à operação ImportKeyMaterial com base no valor do parâmetro ValidTo na solicitação. Você pode usar essa chave de condição para permitir que os usuários importem material de chave somente quando expirar até a data especificada | Data |
| kms:ViaService | Filtra o acesso quando uma solicitação feita em nome do principal vem de um serviço da AWS especificado | String |
| kms:WrappingAlgorithm | Filtra o acesso à operação GetParametersForImport com base no valor do parâmetro WrappingAlgorithm na solicitação | String |
| kms:WrappingKeySpec | Filtra o acesso à operação GetParametersForImport com base no valor do parâmetro WrappingKeySpec na solicitação | Segmento |
