Cambio de una política de claves
Puede cambiar la política de claves de una clave KMS en su Cuenta de AWS mediante la Consola de administración de AWS o la operación PutKeyPolicy. No puede utilizar estas técnicas para cambiar la política de claves de una clave KMS en una cuenta de distinta Cuenta de AWS.
Cuando cambie una política de claves, tenga en cuenta las siguientes reglas:
-
Puede ver la política de claves para una Clave administrada de AWS o una clave administrada por el cliente, pero solo puede cambiar la política de claves para una clave KMS administrada por el cliente. Las políticas de Claves administradas por AWS se crean y administran mediante el servicio de AWS que creó la clave KMS en su cuenta. No puede ver ni modificar la política de claves de una Clave propiedad de AWS.
-
Puede agregar o eliminar usuarios de IAM, roles de IAM y Cuentas de AWS en la política de claves y cambiar las acciones que se permiten o deniegan para dichas entidades principales. Para obtener más información sobre las formas de especificar entidades principales y permisos en una política de claves, consulte Políticas de claves.
-
No puede agregar grupos de IAM a una política de claves, aunque puede agregar varios usuarios de IAM y roles de IAM. Para obtener más información, consulte Conceder permiso a varias entidades principales de IAM para acceder a una clave KMS.
-
Si agrega Cuentas de AWS externas a una política de claves, también debe usar las políticas de IAM en las cuentas externas para conceder permisos a los usuarios, los grupos o los roles de IAM en dichas cuentas. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.
-
El documento de política de claves resultante no puede superar los 32 KB (32 768 bytes).
Cómo cambiar una política de claves
Puede cambiar una política de claves de tres formas diferentes, tal como se explica en las siguientes secciones.
Temas
Usar la vista predeterminada de la Consola de administración de AWS
Puede utilizar la consola para cambiar una política de claves con una interfaz gráfica denominada la vista predeterminada.
Si estos pasos no se corresponden con lo que aparece en la consola, puede significar que la consola no ha creado esta política de claves. O bien que la política de claves se ha modificado de un modo que no admite la vista predeterminada de la consola. En ese caso, siga los pasos de Usar la vista de políticas de la Consola de administración de AWS o Mediante la API de AWS KMS.
Vea la política de claves para una clave administrada por el cliente tal y como se indica en Uso de la consola de AWS KMS. (Usted no puede cambiar la política claves de ). Claves administradas por AWS.)
-
Decida lo que desea cambiar.
-
Para agregar o eliminar administradores de claves y para permitir o evitar que los administradores de claves eliminen la clave KMS, utilice los controles de la sección Key administrators (Administradores de claves) de la página. Los administradores de claves administran la clave KMS, incluida su activación y desactivación, estableciendo la política de claves y habilitando la rotación de claves.
-
Para agregar o eliminar usuarios de claves y para permitir o no permitir que las cuentas de Cuentas de AWS externas usen la clave KMS, utilice los controles de la sección Key users (Usuarios de claves) de la página. Los usuarios de claves pueden usar la clave KMS en operaciones criptográficas, como cifrar, descifrar, volver a cifrar y generar claves de datos.
-
Usar la vista de políticas de la Consola de administración de AWS
Puede utilizar la consola para cambiar un documento de política de claves con la vista de políticas de la consola.
Vea la política de claves para una clave administrada por el cliente tal y como se indica en Uso de la consola de AWS KMS. (Usted no puede cambiar la política claves de ). Claves administradas por AWS.)
-
En la sección Política de claves, elija Cambiar a la vista de política.
-
Seleccione Editar.
-
Decida lo que desea cambiar.
-
Para agregar una nueva declaración, seleccione Agregar nueva declaración. A continuación, puede seleccionar las acciones, las entidades principales y las condiciones de su nueva declaración de política de claves entre las opciones que se muestran en el panel del creador de declaraciones, o bien introducir manualmente los elementos de la declaración de política.
-
Para eliminar una declaración de su política de claves, selecciónela y, a continuación, elija Eliminar. Revise la declaración de política seleccionada y confirme que desea eliminarla. Si decide que no desea continuar con la eliminación de la declaración, seleccione Cancelar.
-
Para editar una declaración de política de claves existente, selecciónela. A continuación, puede utilizar el panel generador de declaraciones para elegir los elementos específicos que desee modificar o editar de manera manual la declaración.
-
-
Seleccione Save changes (Guardar cambios).
Mediante la API de AWS KMS
Puede utilizar la operación PutKeyPolicy para cambiar la política de claves de una clave KMS en su cuenta de Cuenta de AWS. No puede utilizar esta API en una clave KMS en una cuenta de diferente Cuenta de AWS.
-
Utilice la operación GetKeyPolicy para obtener el documento de la política de claves existente y, a continuación, guarde el documento de política de claves en un archivo. Para obtener un código de ejemplo en varios lenguajes de programación, consulte Uso de GetKeyPolicy con un SDK de AWS o la CLI.
-
Abra el documento de políticas de claves en el editor de textos que prefiera, edítelo y, a continuación, guarde el archivo.
-
Utilice la operación PutKeyPolicy para aplicar el documento de políticas de claves actualizado a la clave KMS. Para obtener un código de ejemplo en varios lenguajes de programación, consulte Uso de PutKeyPolicy con un SDK de AWS o la CLI.
Para obtener un ejemplo de cómo copiar una política de claves de una clave KMS a otra, consulte el ejemplo de GetKeyPolicy en la Referencia de comandos de AWS CLI.
