

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Examen de las políticas de IAM
<a name="determining-access-iam-policies"></a>

Además de la política de claves y concesiones, también puede utilizar [políticas de IAM](iam-policies.md) para permitir el acceso a una clave KMS. Para obtener más información sobre cómo funcionan las políticas de IAM y las políticas de claves de forma conjunta, consulte [Solución de problemas de AWS KMS permisos](policy-evaluation.md).

Para determinar qué entidades principales tienen acceso a una clave KMS a través de las políticas de IAM, puede utilizar la herramienta del [simulador de políticas de IAM](https://policysim.aws.amazon.com/) o puede realizar solicitudes a la API de IAM.

**Contents**
+ [Examen de las políticas de IAM con el simulador de políticas de IAM](#determining-access-iam-policy-simulator)
+ [Examen de políticas de IAM con la API de IAM](#determining-access-iam-api)

## Examen de las políticas de IAM con el simulador de políticas de IAM
<a name="determining-access-iam-policy-simulator"></a>

El simulador de políticas de IAM puede ayudarle a saber qué entidades principales tienen acceso a una clave KMS mediante una política de IAM.

**Para utilizar el simulador de políticas de IAM para determinar el acceso a una clave KMS**

1. Inicie sesión en el simulador de políticas de IAM Consola de administración de AWS y, a continuación, abra el simulador de políticas de IAM en[https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. En el panel **Users, Groups, and Roles**, elija el usuario, grupo o rol cuyas políticas desee simular.

1. (Opcional) Desactive la casilla de verificación situada junto a la política que desee omitir en la simulación. Para simular todas las políticas, deje todas las políticas seleccionadas.

1. En el panel **Policy Simulator**, haga lo siguiente:

   1. En **Select service**, elija **Key Management Service**.

   1. Para simular AWS KMS acciones específicas, en **Seleccionar acciones**, elija las acciones que desee simular. Para simular todas AWS KMS las acciones, elija **Seleccionar todo**.

1. (Opcional) El simulador de políticas simula el acceso a todas las claves KMS de forma predeterminada. Para simular el acceso a una clave KMS específica, elija **Simulation Settings (Configuraciones de simulación)** y, a continuación, escriba el nombre de recurso de Amazon (ARN) de la clave KMS que se simulará.

1. Elija **Run Simulation (Ejecutar la simulación)**.

Puede ver los resultados de la simulación en la sección **Results**. Repita los pasos del 2 al 6 por cada usuario, grupo y rol de la Cuenta de AWS.

## Examen de políticas de IAM con la API de IAM
<a name="determining-access-iam-api"></a>

Puede utilizar la API de IAM para examinar políticas de IAM mediante programación. En los pasos siguientes se ofrece información general sobre cómo hacerlo:

1. Utilice las [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)operaciones y de la API de IAM para obtener todos los usuarios [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)y funciones de la [AWS cuenta para cada entidad que Cuenta de AWS figure como principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) en la política clave (es decir, cada principal de cuenta especificado en este formato`"Principal": {"AWS": "arn:aws:iam::111122223333:root"}`).

1. Para cada usuario y rol de la lista, usa la [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)operación en la API de IAM e introduce los siguientes parámetros:
   + Para `PolicySourceArn`, especifique el nombre de recurso de Amazon (ARN) de un usuario o rol de la lista. Puede especificar solo un `PolicySourceArn` para cada solicitud `SimulatePrincipalPolicy`, de modo que debe llamar a esta operación varias veces, una vez por cada usuario y rol de la lista.
   + En la `ActionNames` lista, especifique todas las acciones de la AWS KMS API que desee simular. Para simular todas las acciones de la AWS KMS API, utilice`kms:*`. Para probar las acciones individuales de la AWS KMS API, ponga "`kms:`«, por ejemplo,"» antes de cada acción de la API`kms:ListKeys`. Si desea ver una lista completa de las acciones de la API de AWS KMS , consulte [Acciones](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) en la *Referencia de la API de AWS Key Management Service *.
   + (Opcional) Para determinar si los usuarios o los roles tienen acceso a claves de KMS específicas, utilice el `ResourceArns` parámetro para especificar una lista de los nombres de recursos de Amazon (ARNs) de las claves de KMS. Para determinar si los usuarios o roles tienen acceso a cualquier clave KMS, no use el parámetro `ResourceArns`.

IAM responde a cada solicitud de `SimulatePrincipalPolicy` con una decisión de evaluación: `allowed`, `explicitDeny` o `implicitDeny`. Para cada respuesta que contenga una decisión de evaluación sobre`allowed`, la respuesta incluye el nombre de la operación de AWS KMS API específica que está permitida. También incluye el ARN de la clave KMS utilizado en la evaluación, si se ha realizado.