AWS KMSPermisos de

Esta tabla está diseñada para ayudarle a entender los permisos de AWS KMS para que pueda controlar el acceso a los recursos de AWS KMS. Las definiciones de los títulos de las columnas aparecen bajo la tabla.

También puede obtener información sobre los permisos de AWS KMS consultando el tema Acciones, recursos y claves de condición para AWS Key Management Service de la Referencia de autorizaciones de servicio. Sin embargo, ese tema no enumera todas las claves de condición que puede utilizar para limitar cada permiso.

Para obtener más información sobre qué operaciones de AWS KMS son válidas para las claves de KMS de cifrado simétrico, las claves KMS asimétricas y las claves KMS HMAC, consulte Referencia de tipos de claves.

nota

Es posible que tenga que desplazarse en forma horizontal o vertical para ver todos los datos de la tabla.

Acciones y permisos	Tipo de política	Uso entre cuentas	Recursos (para políticas de IAM)	AWS KMSClaves de condición de
CancelKeyDeletion `kms:CancelKeyDeletion`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	Política de IAM	No	`*`	kms:CallerAccount
CreateAlias `kms:CreateAlias` Para utilizar esta operación, el intermediario necesita permiso `kms:CreateAlias` en dos recursos: El alias (en una política de IAM) La clave KMS (en una política de clave) Para obtener más información, consulte Control del acceso a alias.	Política de IAM (para el alias)	No	Alias	Ninguno (cuando se controla el acceso al alias)
	Política de claves (para la clave KMS)	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	Política de IAM	No	`*`	kms:CallerAccount
CreateGrant `kms:CreateGrant`	Política de claves	Sí	Clave KMS	Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones de concesión: kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
CreateKey `kms:CreateKey`	Política de IAM	No	`*`	kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService aws:RequestTag/tag-key (clave de condición global AWS) aws:ResourceTag/tag-key (clave de condición global AWS) aws:TagKeys (clave de condición global AWS)
Decrypt `kms:Decrypt`	Política de claves	Sí	Clave KMS	Condiciones para operaciones criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
DeleteAlias `kms:DeleteAlias` Para utilizar esta operación, el intermediario necesita permiso `kms:DeleteAlias` en dos recursos: El alias (en una política de IAM) La clave KMS (en una política de clave) Para obtener más información, consulte Control del acceso a alias.	Política de IAM (para el alias)	No	Alias	Ninguno (cuando se controla el acceso al alias)
	Política de claves (para la clave KMS)	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	Política de IAM	No	`*`	kms:CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
DeriveSharedSecret `kms:DeriveSharedSecret`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Condiciones para operaciones criptográficas: kms:KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	Política de IAM	No	`*`	kms:CallerAccount
DescribeKey `kms:DescribeKey`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:RequestAlias
DisableKey `kms:DisableKey`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
DisableKeyRotation `kms:DisableKeyRotation`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	Política de IAM	No	`*`	kms:CallerAccount
EnableKey `kms:EnableKey`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
EnableKeyRotation `kms:EnableKeyRotation`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Condiciones de rotación automática de claves: kms:RotationPeriodInDay
Encrypt `kms:Encrypt`	Política de claves	Sí	Clave KMS	Condiciones para operaciones criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GenerateDataKey `kms:GenerateDataKey`	Política de claves	Sí	Clave KMS	Condiciones para operaciones criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	Política de claves	Sí	Clave KMS Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.	Condiciones para pares de claves de datos: kms:DataKeyPairSpec Condiciones para operaciones criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	Política de claves	Sí	Clave KMS Genera un par de claves de datos asimétricos protegido por una clave de KMS de cifrado simétrica.	Condiciones para pares de claves de datos: kms:DataKeyPairSpec Condiciones para operaciones criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	Política de claves	Sí	Clave KMS	Condiciones para operaciones criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GenerateMac `kms:GenerateMac`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Condiciones para operaciones criptográficas: kms:MacAlgorithm kms:RequestAlias
GenerateRandom `kms:GenerateRandom`	Política de IAM	N/A	`*`	Ninguno
GetKeyPolicy `kms:GetKeyPolicy`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GetParametersForImport `kms:GetParametersForImport`	Política de claves	No	Clave KMS	kms:WrappingAlgorithm kms:WrappingKeySpec Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
GetPublicKey `kms:GetPublicKey`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:ExpirationModel kms:ValidTo
ListAliases `kms:ListAliases`	Política de IAM	No	`*`	Ninguno
ListGrants `kms:ListGrants`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:GrantIsForAWSResource
ListKeyPolicies `kms:ListKeyPolicies`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
ListKeyRotations `kms:ListKeyRotations`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
ListKeys `kms:ListKeys`	Política de IAM	No	`*`	Ninguno
ListResourceTags `kms:ListResourceTags`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
ListRetirableGrants `kms:ListRetirableGrants`	Política de IAM	La principal entidad especificada debe estar en la cuenta local, pero la operación devuelve concesiones en todas las cuentas.	`*`	Ninguno
PutKeyPolicy `kms:PutKeyPolicy`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` Para utilizar esta operación, la persona que llama necesita permiso en dos claves KMS: `kms:ReEncryptFrom` en la clave KMS utilizada para descifrar `kms:ReEncryptTo` en la clave KMS utilizada para cifrar	Política de claves	Sí	Clave KMS	Condiciones para operaciones criptográficas kms:EncryptionAlgorithm kms:RequestAlias Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` Para utilizar esta operación, la persona que llama necesita estos permisos: `kms:ReplicateKey` en la clave principal de varias regiones `kms:CreateKey` en una política de IAM en la región de réplica	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:ReplicaRegion
RetireGrant `kms:RetireGrant` El permiso para retirar una concesión se determina principalmente por la concesión. Una política por sí sola no puede permitir el acceso a esta operación. Para obtener más información, consulte Retiro y revocación de concesiones.	Política de IAM (Este permiso no es efectivo en una política de clave.)	Sí	Clave KMS	Condiciones de contexto de cifrado: kms:EncryptionContext:context-key kms:EncryptionContextKeys Condiciones de concesión: kms:GrantConstraintType Condiciones para las operaciones clave KMS: kms:CallerAccount kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
RevokeGrant `kms:RevokeGrant`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones: kms:GrantIsForAWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
Sign `kms:Sign`	Política de claves	Sí	Clave KMS	Condiciones para la firma y la verificación: kms:MessageType kms:RequestAlias kms:SigningAlgorithm Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
TagResource `kms:TagResource`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Condiciones para el etiquetado: aws:RequestTag/tag-key (clave de condición global AWS) aws:TagKeys (clave de condición global AWS)
UntagResource `kms:UntagResource`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Condiciones para el etiquetado: aws:RequestTag/tag-key (clave de condición global AWS) aws:TagKeys (clave de condición global AWS)
UpdateAlias `kms:UpdateAlias` Para utilizar esta operación, el intermediario necesita permiso `kms:UpdateAlias` en tres recursos: El alias La clave KMS asociada actualmente La clave KMS recién asociada Para obtener más información, consulte Control del acceso a alias.	Política de IAM (para el alias)	No	Alias	Ninguno (cuando se controla el acceso al alias)
	Política de claves (para las claves KMS)	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	Política de IAM	No	`*`	kms:CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` Para utilizar esta operación, la persona que llama necesita permiso `kms:UpdatePrimaryRegion` tanto en la clave principal de varias regiones que se convertirá en una clave de réplica como en la clave de réplica de varias regiones que se convertirá en la clave principal.	Política de claves	No	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Otras condiciones kms:PrimaryRegion
Verificar `kms:Verify`	Política de claves	Sí	Clave KMS	Condiciones para la firma y la verificación: kms:MessageType kms:RequestAlias kms:SigningAlgorithm Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService
VerifyMac `kms:VerifyMac`	Política de claves	Sí	Clave KMS	Condiciones para las operaciones clave KMS: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (clave de condición global AWS) kms:ViaService Condiciones para operaciones criptográficas: kms:MacAlgorithm kms:RequestAlias

Descripciones de las columnas

Las columnas de esta tabla proporcionan la siguiente información:

La lista de Acciones y permisos muestran cada operación de la API de AWS KMS y el permiso que habilita la operación. Especifique la operación en el elemento Action de una declaración de política.
Tipo de política indica si el permiso se puede utilizar en una política de claves o en una política de IAM.

Política de claves significa que puede especificar el permiso en la política de claves. Cuando la política de claves contiene la declaración de política que permite las políticas de IAM, puede especificar el permiso en una política de IAM.

La política de IAM significa que puede especificar el permiso solo en la política de IAM.
Uso entre cuentas muestra las operaciones que los usuarios autorizados pueden realizar en recursos de una Cuenta de AWS diferente.

Un valor de Yes (Sí) significa que las entidades principales pueden realizar la operación en los recursos en una Cuenta de AWS diferente.

Un valor de No significa que las principales entidades pueden realizar la operación solo en recursos en sus propios Cuenta de AWS.

Si otorga a una entidad principal de una cuenta diferente un permiso que no se puede utilizar en un recurso entre cuentas, el permiso no será efectivo. Por ejemplo, si asigna una entidad principal en un permiso de cuenta diferente kms:TagResource a una clave KMS en su cuenta, sus intentos de etiquetar la clave KMS de su cuenta fallarán.
Recursos enumera los recursos de AWS KMS a los que se aplican los permisos. AWS KMS admite dos tipos de recursos: una clave KMS y un alias. En una política de claves, el valor del elemento Resource es siempre *, lo que indica la clave KMS a la que está asociada la política de claves.

Utilice los siguientes valores para representar un recurso de AWS KMS en una política de IAM.

Clave KMS

Cuando el recurso sea una clave KMS, utilice su ARN de clave. Para obtener ayuda, consulte Encontrar el ID de clave y el ARN de clave.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

Por ejemplo:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias

Cuando el recurso sea un alias, utilice su ARN de alias. Para obtener ayuda, consulte Búsqueda del nombre del alias y el ARN de alias para una clave de KMS.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

Por ejemplo:

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

* (asterisco)

Cuando el permiso no se aplique a un recurso determinado (clave KMS o alias), utilice un asterisco (*).

En una política de IAM para un permiso de AWS KMS, un asterisco en el elemento Resource indica todos los recursos de AWS KMS (claves KMS y alias). También puede utilizar un asterisco en el elemento Resource cuando el permiso AWS KMS no se aplica a ninguna clave KMS o alias concreto. Por ejemplo, al permitir o denegar un permiso kms:CreateKey o kms:ListKeys, debe establecer el elemento Resource en *.
Claves de condición de AWS KMS muestra las claves de condición de AWS KMS que puede utilizar para controlar el acceso a la operación. Las condiciones se especifican en un elemento Condition de la política. Para obtener más información, consulte AWS KMS claves de condición. Esta columna incluye además las claves de condición globales de AWS que admite AWS KMS, pero no por todos los servicios de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de especificaciones de clave

AWS KMSOperaciones internas de