Intercambio de clave de KMS utilizada para cifrar una instantánea de Amazon EBS compartida
Cuando comparta una instantánea cifrada, también deberá compartir la clave gestionada por el cliente usada para cifrar la instantánea. Puede aplicar permisos entre cuentas a una clave gestionada por el cliente en el momento de crearla o en un momento posterior.
Los usuarios de la clave gestionada por el cliente compartida que tienen acceso a las instantáneas cifradas deben contar con los permisos para realizar las siguientes acciones sobre la clave:
-
kms:DescribeKey -
kms:CreateGrant -
kms:GenerateDataKey -
kms:GenerateDataKeyWithoutPlaintext -
kms:ReEncrypt -
kms:Decrypt
sugerencia
Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, use la clave de condición kms:GrantIsForAWSResource para permitir al usuario crear concesiones en la clave de KMS solo cuando un servicio de AWS haya creado la concesión en nombre del usuario.
Para obtener más información acerca del control del acceso a una clave gestionada por el cliente, consulte Uso de las políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service.
Para compartir la clave gestionada por el cliente con la consola de AWS KMS
-
Abra la consola de AWS KMS en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
Elija Customer managed keys (Claves gestionadas por el cliente) en el panel de navegación.
-
En la columna Alias elija el alias (enlace de texto) de la clave gestionada por el cliente que utilizó para cifrar la instantánea. Los detalles de clave se abren en una nueva página.
-
En la sección Key policy (Política de claves), verá la vista de política o la vista predeterminada. La vista de política muestra el documento de políticas de claves. La vista predeterminada muestra secciones para Key administrators (Gestionadores de claves), Key deletion (Eliminación de claves), Key Use (Uso de claves) y Other AWS accounts (Otras cuentas de ). La vista predeterminada se muestra si creó la política en la consola y no la ha personalizado. Si la vista predeterminada no está disponible, deberá editar manualmente la política en la vista de políticas. Para obtener más información, consulte Visualización de una política de claves (consola) en la Guía para desarrolladores de AWS Key Management Service.
Utilice la vista de políticas o la vista predeterminada, en función de la vista a la que pueda acceder, para agregar uno o varios ID de cuenta de AWS a la política, como se indica a continuación:
(Vista de políticas) Elija Edit (Editar). Agregue uno o varios ID de cuenta de AWS a las instrucciones siguientes:
"Allow use of the key"y"Allow attachment of persistent resources". Elija Save changes. En el siguiente ejemplo, el ID AWS de cuenta de444455556666se agrega a la política.{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(Vista predeterminada) Desplácese hacia abajo hasta Other AWS accounts. Elija Add other AWS accounts (Agregar otras cuentas de ) e ingrese el ID de la cuenta de AWS tal como se solicita. Para agregar otra cuenta, elija Add another AWS account (Agregar otra cuenta de ) e ingrese el ID de la cuenta de AWS. Cuando haya añadido todas las cuentas de AWS, elija Save changes (Guardar cambios).
