Políticas de clave de KMS Concesiones de claves de KMS

Permisos y acceso a claves KMS

Para utilizar AWS KMS, debe tener credenciales que AWS pueda utilizar para autenticar las solicitudes. Las credenciales deben incluir permisos para obtener acceso a los recursos de AWS: AWS KMS keys y alias. Ninguna entidad principal de AWS tiene permisos para una clave KMS, a menos que dicho permiso se proporcione explícitamente y nunca se deniegue. No hay permisos implícitos ni automáticos para usar o administrar una clave KMS.

Para controlar el acceso a las claves KMS, puede utilizar los siguientes mecanismos de políticas.

Política de claves: cada clave KMS tiene una política de claves. Es el mecanismo principal para controlar el acceso a una clave KMS. Puede utilizar solo la política de claves para controlar el acceso, lo que significa que el ámbito completo de acceso a la clave KMS se define en un único documento (la política de claves). Para obtener más información sobre el uso de políticas de claves, consulte Políticas de claves.
Políticas de IAM: puede utilizar políticas de IAM en combinación con la política de claves y subvenciones para controlar el acceso a una clave KMS. Este modo de controlar el acceso le permite administrar todos los permisos de las identidades de IAM en IAM. Para utilizar una política de IAM a fin de permitir el acceso a una clave KMS, la política de claves debe permitirlo explícitamente. Para obtener más información sobre el uso de políticas de IAM, consulte Políticas de IAM.
Concesiones: puede utilizar concesiones en combinación con la política de claves y políticas de IAM para permitir el acceso a una clave KMS. Con este modo de controlar el acceso, puede permitir el acceso a la clave KMS en la política de claves y permitir que las identidades deleguen su acceso a otros. Para obtener más información sobre cómo usar concesiones, consulte Concesiones en AWS KMS.

Políticas de clave de KMS

La forma principal de administrar el acceso a sus recursos de AWS KMS es a través de políticas. Las políticas son documentos que describen qué entidades principales pueden acceder a qué recursos. Las políticas adjuntadas a una identidad de IAM se denominan políticas basadas en identidad (o políticas de IAM) y las políticas adjuntadas a otros tipos de recursos se denominan políticas de recursos. Las políticas de recursos de AWS KMS para las claves KMS se denominan políticas de claves.

Todas las claves KMS tienen una política de claves. Si no proporcionan una, AWS KMS la crea automáticamente. La política de claves predeterminada que utiliza AWS KMS difiere en función de si crea la clave en la consola de AWS KMS o utiliza la API de AWS KMS. Le recomendamos que edite la política de claves predeterminada para adaptarla a los requisitos de su organización en materia de permisos de privilegio mínimo.

Puede utilizar solo la política de claves para controlar el acceso, si la clave y la entidad principal de IAM están en la misma cuenta de AWS, lo que significa que el ámbito completo de acceso a la clave KMS se define en un único documento (la política de claves). Sin embargo, cuando una persona que llama desde una cuenta tiene que acceder a una clave de otra cuenta, no puede utilizar únicamente la política de claves para conceder el acceso. En un escenario de varias cuentas, se debe adjuntar al usuario o rol de la persona que llama una política de IAM que permita explícitamente a dicha persona que llama realizar la llamada a la API.

También puede utilizar políticas de IAM en combinación con las concesiones y las políticas de claves para controlar el acceso a una clave KMS. Para utilizar una política de IAM a fin de controlar el acceso a una clave KMS, la política de claves debe conceder permiso a la cuenta para utilizar políticas de IAM. Puede especificar una declaración de política de claves que habilite las políticas de IAM o puede especificar explícitamente la entidad principal permitida en la política de claves.

Al redactar las políticas, asegúrese de contar con controles estrictos que restrinjan quién puede realizar las siguientes acciones:

Actualizar, crear y eliminar las políticas de claves de IAM y KMS
Adjuntar y separar políticas de IAM de los usuarios, los roles y los grupos
Adjuntar y separar las políticas de claves KMS de sus claves KMS

Concesiones de claves de KMS

Además de las políticas de claves y de IAM, AWS KMS admite las concesiones. Las concesiones proporcionan una forma flexible y eficaz de delegar permisos. Puede utilizar las concesiones para conceder acceso temporal a claves de KMS a las entidades principales de IAM en su cuenta de AWS o de otras cuentas de AWS. Le recomendamos otorgar un acceso temporal si no conoce los nombres de las entidades principales en el momento de crear las políticas o si las entidades principales que requieren acceso cambian con frecuencia. La entidad principal del beneficiario puede estar en la misma cuenta que la clave KMS o en otra cuenta. Si la entidad principal y la clave KMS están en cuentas diferentes, debe especificar una política de IAM además de la concesión. Las concesiones requieren una administración adicional, ya que debe llamar a una API para crear la concesión y para retirarla o revocarla cuando ya no sea necesaria.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Algoritmos compatibles

Políticas de claves