Política administrada de AWS: AWSKeyManagementServicePowerUser Política administrada de AWS: AWSServiceRoleForKeyManagementServiceCustomKeyStores Política administrada de AWS: AWSServiceRoleForKeyManagementServiceMultiRegionKeys Actualizaciones de AWS KMS a las políticas administradas de AWS

AWS Políticas administradas de para AWS Key Management Service

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Política administrada de AWS: AWSKeyManagementServicePowerUser

Puede adjuntar la política AWSKeyManagementServicePowerUser a las identidades de IAM.

Puede utilizar la política administrada de AWSKeyManagementServicePowerUser para dar a las entidades principales de IAM en su cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear claves KMS, usar y administrar las claves KMS que crean y ver todas las claves KMS e identidades de IAM. Las entidades principales que tienen la política administrada AWSKeyManagementServicePowerUser también pueden obtener permisos de otras fuentes, incluidas las políticas de claves, otras políticas de IAM y las concesiones.

AWSKeyManagementServicePowerUser es una política de IAM administrada de AWS. Para obtener más información sobre las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

nota

Los permisos de esta política que son específicos para una clave KMS, como kms:TagResource y kms:GetKeyRotationStatus, solo son efectivos cuando la política de la clave para esa clave KMS permite explícitamente que la Cuenta de AWS utilice las políticas de IAM para controlar el acceso a la clave. Para determinar si un permiso es específico para una clave KMS, consulte AWS KMSPermisos de y busque un valor de clave KMS en la columna Resources (Recursos).

Esta política proporciona al usuario avanzado permisos sobre cualquier clave KMS con una política de claves que permita la operación. En el caso de los permisos entre cuentas, como kms:DescribeKey y kms:ListGrants, esto podría incluir las claves KMS en Cuentas de AWS no confiables. Para más detalles, consulte Prácticas recomendadas para las políticas de IAM y Permitir a los usuarios de otras cuentas utilizar una clave KMS. Para determinar si un permiso es válido en las claves KMS de otras cuentas, consulte AWS KMSPermisos de y busque un valor Yes (Sí) en la columna Cross-account use (Uso entre cuentas).

Para permitir que las entidades principales vean la consola de AWS KMS sin errores, la entidad principal necesita el permiso tag:GetResources, que no está incluido en la política AWSKeyManagementServicePowerUser. Puede autorizar este permiso en una política de IAM independiente.

Esta política de IAM administrada AWSKeyManagementServicePowerUser incluye los siguientes permisos.

Permite a las entidades principales crear claves KMS. Dado que este proceso incluye la configuración de la política de claves, los usuarios avanzados pueden concederse a sí mismos y a otros permisos para usar y administrar las claves KMS que crean.
Permite a las entidades principales crear y eliminar alias y etiquetas en todas las claves KMS. Si cambia una etiqueta o un alias, puede permitir o denegar el permiso para usar y administrar la clave KMS. Para obtener más información, consulte ABAC para AWS KMS.
Permite a las entidades principales obtener información detallada sobre todas las claves KMS, incluyendo su ARN clave, configuración criptográfica, política de claves, alias, etiquetas y estado de rotación.
Permite a las entidades principales enumerar usuarios, grupos y roles de IAM.
Esta política no permite a las entidades principales utilizar o administrar claves KMS que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las claves KMS, lo que podría permitirles o denegarles el permiso para utilizar o administrar una clave KMS.

Para ver los permisos de esta política, consulte AWSKeyManagementServicePowerUser en la Referencia de la política administrada de AWS.

Política administrada de AWS: AWSServiceRoleForKeyManagementServiceCustomKeyStores

No puede asociar AWSServiceRoleForKeyManagementServiceCustomKeyStores a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que otorga permiso de AWS KMS para ver los clústeres de AWS CloudHSM asociados a su almacén de claves de AWS CloudHSM y crear la red para admitir una conexión entre el almacén de claves personalizado y su clúster de AWS CloudHSM. Para obtener más información, consulte Autorizar a AWS KMS para administrar AWS CloudHSM y recursos de Amazon EC2.

Política administrada de AWS: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

No puede asociar AWSServiceRoleForKeyManagementServiceMultiRegionKeys a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que otorga permiso de AWS KMS para sincronizar los cambios realizados en el material de claves de una clave principal de varias regiones con las claves de réplica. Para obtener más información, consulte Autorización de AWS KMS para la sincronización de claves de varias regiones.

Actualizaciones de AWS KMS a las políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para AWS KMS debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de AWS KMS Historial de documentos.

Cambio	Descripción	Fecha
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy: actualización a la política existente	AWS KMS agregó un campo (`Sid`) de ID de declaración a la política administrada en la versión v2 de la política.	21 de noviembre de 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy: actualización de la política existente	AWS KMS agregó los permisos `ec2:DescribeVpcs`, `ec2:DescribeNetworkAcls` y `ec2:DescribeNetworkInterfaces` para supervisar los cambios en la VPC que contiene el clúster de AWS CloudHSM, de modo que AWS KMS pueda proporcionar mensajes de error claros en caso de fallos.	10 de noviembre de 2023
AWS KMS comenzó el seguimiento de los cambios	AWS KMS comenzó el seguimiento de los cambios de las políticas administradas de AWS.	10 de noviembre de 2023

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity and Access Management

Roles vinculados a servicios