Actions Tipos de recurso Claves de condición

Acciones, recursos y claves de condición para AWS Key Management Service

AWS El Servicio de administración de claves (prefijo de servicio:kms) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Obtenga información para configurar este servicio.
Vea una lista de las operaciones de API disponibles para este servicio.
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.

Temas

Acciones definidas por AWS Key Management Service
Tipos de recursos definidos por AWS Key Management Service
Claves de condición para AWS Key Management Service

Acciones definidas por AWS Key Management Service

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna de nivel de acceso de la tabla de acciones describe cómo se clasifica la acción (lista, lectura, gestión de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte los niveles de acceso en los resúmenes de políticas.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

La columna Acciones dependientes de la tabla Acciones muestra los permisos adicionales que pueden ser necesarios para ejecutar una acción correctamente. Es posible que estos permisos sean necesarios además del permiso para la acción en sí. Cuando una acción especifica acciones dependientes, esas dependencias pueden aplicarse a los recursos adicionales definidos para esa acción, no solo al primer recurso de la tabla.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones	Descripción	Nivel de acceso	Tipos de recursos (*necesarios)	Claves de condición	Acciones dependientes
CancelKeyDeletion	Controla el permiso para cancelar la eliminación programada de una clave de AWS KMS	Escritura	key*
CancelKeyDeletion		Escritura		kms:CallerAccount kms:ViaService
ConnectCustomKeyStore	Controla el permiso para conectar o volver a conectar un almacén de claves personalizado al clúster de AWS CloudHSM asociado o al administrador de claves externo fuera de AWS	Escritura		kms:CallerAccount
CreateAlias	Controla el permiso para crear un alias para una AWS clave de KMS. Los alias son nombres de visualización sencillos opcionales que puede asociar a las claves KMS	Escritura	alias*
			key*
				kms:CallerAccount kms:ViaService
CreateCustomKeyStore	Controla el permiso para crear un almacén de claves personalizado respaldado por un clúster de AWS CloudHSM o un administrador de claves externo externo a AWS	Escritura		kms:CallerAccount	cloudhsm:DescribeClusters iam:CreateServiceLinkedRole
CreateGrant	Controla el permiso para añadir una concesión a una clave de AWS KMS. Puede usar concesiones para agregar permisos sin cambiar la política de claves o la política de IAM.	Administración de permisos	key*
CreateGrant		Administración de permisos		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal kms:ViaService
CreateKey	Controla el permiso para crear una clave AWS KMS que se puede usar para proteger las claves de datos y otra información confidencial	Escritura		aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService	iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource
Decrypt	Controla el permiso para descifrar el texto cifrado que se cifró con una clave KMS AWS	Escritura	key*
Decrypt		Escritura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DeleteAlias	Controla el permiso para eliminar un alias. Los alias son nombres descriptivos opcionales que se pueden asociar a las claves de KMS AWS	Escritura	alias*
			key*
				kms:CallerAccount kms:ViaService
DeleteCustomKeyStore	Controla el permiso para eliminar un almacén de claves personalizadas.	Escritura		kms:CallerAccount
DeleteImportedKeyMaterial	Controla el permiso para eliminar el material criptográfico que ha importado a una clave de AWS KMS. Esta acción hace que la clave sea inservible.	Escritura	key*
DeleteImportedKeyMaterial		Escritura		kms:CallerAccount kms:ViaService
DeriveSharedSecret	Controla el permiso para usar la clave AWS KMS especificada para obtener secretos compartidos	Escritura	key*
DeriveSharedSecret		Escritura		kms:CallerAccount kms:KeyAgreementAlgorithm kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
DescribeCustomKeyStores	Controla el permiso para ver información detallada acerca de los almacenes de claves personalizadas de la cuenta y la región.	Lectura		kms:CallerAccount
DescribeKey	Controla el permiso para ver información detallada sobre una clave de AWS KMS	Lectura	key*
DescribeKey		Lectura		kms:CallerAccount kms:RequestAlias kms:ViaService
DisableKey	Controla el permiso para deshabilitar una clave AWS KMS, lo que impide que se utilice en operaciones criptográficas	Escritura	key*
DisableKey		Escritura		kms:CallerAccount kms:ViaService
DisableKeyRotation	Controla el permiso para deshabilitar la rotación automática de una clave AWS KMS administrada por el cliente	Escritura	key*
DisableKeyRotation		Escritura		kms:CallerAccount kms:ViaService
DisconnectCustomKeyStore	Controla el permiso para desconectar el almacén de claves personalizado del clúster de AWS CloudHSM asociado o del administrador de claves externo fuera de AWS	Escritura		kms:CallerAccount
EnableKey	Controla el permiso para cambiar el estado de una clave de AWS KMS a habilitado. Esto permite que la clave KMS se utilice en operaciones criptográficas	Escritura	key*
EnableKey		Escritura		kms:CallerAccount kms:ViaService
EnableKeyRotation	Controla el permiso para habilitar la rotación automática del material criptográfico de una clave AWS KMS	Escritura	key*
EnableKeyRotation		Escritura		kms:CallerAccount kms:RotationPeriodInDays kms:ViaService
Encrypt	Controla el permiso para usar la clave AWS KMS especificada para cifrar datos y claves de datos	Escritura	key*
Encrypt		Escritura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKey	Controla el permiso para usar la clave AWS KMS para generar claves de datos. Puede usar las claves de datos para cifrar datos fuera del KMS AWS	Escritura	key*
GenerateDataKey		Escritura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPair	Controla el permiso para usar la clave AWS KMS para generar pares de claves de datos	Escritura	key*
GenerateDataKeyPair		Escritura		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31 kms:RequestAlias kms:ViaService
GenerateDataKeyPairWithoutPlaintext	Controla el permiso para usar la clave AWS KMS para generar pares de claves de datos. A diferencia de la GenerateDataKeyPair operación, esta operación devuelve una clave privada cifrada sin una copia de texto simple	Escritura	key*
GenerateDataKeyPairWithoutPlaintext		Escritura		kms:CallerAccount kms:DataKeyPairSpec kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateDataKeyWithoutPlaintext	Controla el permiso para usar la clave AWS KMS para generar una clave de datos. A diferencia de la GenerateDataKey operación, esta operación devuelve una clave de datos cifrada sin una versión de texto simple de la clave de datos	Escritura	key*
GenerateDataKeyWithoutPlaintext		Escritura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:RequestAlias kms:ViaService
GenerateMac	Controla el permiso para usar la clave AWS KMS para generar códigos de autenticación de mensajes	Escritura	key*
GenerateMac		Escritura		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService
GenerateRandom	Controla el permiso para obtener una cadena de bytes aleatorios criptográficamente segura del KMS AWS	Escritura		kms:RecipientAttestation:ImageSha384 kms:RecipientAttestation:NitroTPMPCR0 kms:RecipientAttestation:NitroTPMPCR1 kms:RecipientAttestation:NitroTPMPCR2 kms:RecipientAttestation:NitroTPMPCR3 kms:RecipientAttestation:NitroTPMPCR4 kms:RecipientAttestation:NitroTPMPCR5 kms:RecipientAttestation:NitroTPMPCR6 kms:RecipientAttestation:NitroTPMPCR7 kms:RecipientAttestation:NitroTPMPCR8 kms:RecipientAttestation:NitroTPMPCR9 kms:RecipientAttestation:NitroTPMPCR10 kms:RecipientAttestation:NitroTPMPCR11 kms:RecipientAttestation:NitroTPMPCR12 kms:RecipientAttestation:NitroTPMPCR13 kms:RecipientAttestation:NitroTPMPCR14 kms:RecipientAttestation:NitroTPMPCR15 kms:RecipientAttestation:NitroTPMPCR16 kms:RecipientAttestation:NitroTPMPCR17 kms:RecipientAttestation:NitroTPMPCR18 kms:RecipientAttestation:NitroTPMPCR19 kms:RecipientAttestation:NitroTPMPCR20 kms:RecipientAttestation:NitroTPMPCR21 kms:RecipientAttestation:NitroTPMPCR22 kms:RecipientAttestation:NitroTPMPCR23 kms:RecipientAttestation:PCR0 kms:RecipientAttestation:PCR1 kms:RecipientAttestation:PCR2 kms:RecipientAttestation:PCR3 kms:RecipientAttestation:PCR4 kms:RecipientAttestation:PCR5 kms:RecipientAttestation:PCR6 kms:RecipientAttestation:PCR7 kms:RecipientAttestation:PCR8 kms:RecipientAttestation:PCR9 kms:RecipientAttestation:PCR10 kms:RecipientAttestation:PCR11 kms:RecipientAttestation:PCR12 kms:RecipientAttestation:PCR13 kms:RecipientAttestation:PCR14 kms:RecipientAttestation:PCR15 kms:RecipientAttestation:PCR16 kms:RecipientAttestation:PCR17 kms:RecipientAttestation:PCR18 kms:RecipientAttestation:PCR19 kms:RecipientAttestation:PCR20 kms:RecipientAttestation:PCR21 kms:RecipientAttestation:PCR22 kms:RecipientAttestation:PCR23 kms:RecipientAttestation:PCR24 kms:RecipientAttestation:PCR25 kms:RecipientAttestation:PCR26 kms:RecipientAttestation:PCR27 kms:RecipientAttestation:PCR28 kms:RecipientAttestation:PCR29 kms:RecipientAttestation:PCR30 kms:RecipientAttestation:PCR31
GetKeyPolicy	Controla el permiso para ver la política de claves de la clave de AWS KMS especificada	Lectura	key*
GetKeyPolicy		Lectura		kms:CallerAccount kms:ViaService
GetKeyRotationStatus	Controla el permiso para ver el estado de rotación de una clave AWS KMS	Lectura	key*
GetKeyRotationStatus		Lectura		kms:CallerAccount kms:ViaService
GetParametersForImport	Controla el permiso para obtener datos necesarios para importar material criptográfico en una clave administrada por el cliente, incluida una clave pública y un token de importación.	Lectura	key*
GetParametersForImport		Lectura		kms:CallerAccount kms:ViaService kms:WrappingAlgorithm kms:WrappingKeySpec
GetPublicKey	Controla el permiso para descargar la clave pública de una clave AWS KMS asimétrica	Lectura	key*
GetPublicKey		Lectura		kms:CallerAccount kms:RequestAlias kms:ViaService
ImportKeyMaterial	Controla el permiso para importar material criptográfico a una clave KMS AWS	Escritura	key*
ImportKeyMaterial		Escritura		kms:CallerAccount kms:ExpirationModel kms:ValidTo kms:ViaService
ListAliases	Controla el permiso para ver los alias definidos en la cuenta. Los alias son nombres descriptivos opcionales que se pueden asociar AWS a las claves de KMS	Enumeración
ListGrants	Controla el permiso para ver todas las concesiones de una clave de AWS KMS	Enumeración	key*
ListGrants		Enumeración		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
ListKeyPolicies	Controla el permiso para ver los nombres de las políticas clave de una clave de AWS KMS	Enumeración	key*
ListKeyPolicies		Enumeración		kms:CallerAccount kms:ViaService
ListKeyRotations	Controla el permiso para ver la lista de materiales clave de una clave de AWS KMS	Enumeración	key*
ListKeyRotations		Enumeración		kms:CallerAccount kms:ViaService
ListKeys	Controla el permiso para ver el ID de clave y el nombre de recurso de Amazon (ARN) de todas las claves de AWS KMS de la cuenta	Enumeración
ListResourceTags	Controla el permiso para ver todas las etiquetas adjuntas a una clave de AWS KMS	Enumeración	key*
ListResourceTags		Enumeración		kms:CallerAccount kms:ViaService
ListRetirableGrants	Controla el permiso para ver concesiones en las que el principal especificado es el principal de retirada. Otras entidades principales pueden retirar la concesión y esta entidad principal puede retirar otras concesiones.	Enumeración
PutKeyPolicy	Controla el permiso para reemplazar la política de claves por la clave de AWS KMS especificada	Administración de permisos	key*
PutKeyPolicy		Administración de permisos		kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:ViaService
ReEncryptFrom	Controla el permiso para descifrar datos como parte del proceso que descifra y vuelve a cifrar los datos en KMS AWS	Escritura	key*
ReEncryptFrom		Escritura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReEncryptTo	Controla el permiso para cifrar datos como parte del proceso que descifra y vuelve a cifrar los datos en KMS AWS	Escritura	key*
ReEncryptTo		Escritura		kms:CallerAccount kms:EncryptionAlgorithm kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:ReEncryptOnSameKey kms:RequestAlias kms:ViaService
ReplicateKey	Controla el permiso para replicar una clave principal de varias regiones.	Write	key*		iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource
ReplicateKey		Write		kms:CallerAccount kms:ReplicaRegion kms:ViaService
RetireGrant	Controla el permiso para retirar una concesión. Por lo general, el usuario de la concesión llama a la RetireGrant operación una vez que ha completado las tareas que la concesión le ha permitido realizar	Administración de permisos	key*
RetireGrant		Administración de permisos		kms:CallerAccount kms:EncryptionContext:${EncryptionContextKey} kms:EncryptionContextKeys kms:GrantConstraintType kms:ViaService
RevokeGrant	Controla el permiso para revocar una concesión, que deniega el permiso de todas las operaciones que dependen de la concesión.	Administración de permisos	key*
RevokeGrant		Administración de permisos		kms:CallerAccount kms:GrantIsForAWSResource kms:ViaService
RotateKeyOnDemand	Controla el permiso para invocar la rotación bajo demanda del material criptográfico de una AWS clave KMS	Escritura	key*
RotateKeyOnDemand		Escritura		kms:CallerAccount kms:ViaService
ScheduleKeyDeletion	Controla el permiso para programar la eliminación de una clave KMS AWS	Escritura	key*
ScheduleKeyDeletion		Escritura		kms:CallerAccount kms:ScheduleKeyDeletionPendingWindowInDays kms:ViaService
Sign	Controla el permiso para producir una firma digital para un mensaje.	Write	key*
Sign		Write		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
SynchronizeMultiRegionKey [solo permiso]	Controla el acceso a las claves internas APIs que sincronizan varias regiones	Escritura	key*
TagResource	Controla el permiso para crear o actualizar las etiquetas adjuntas a una clave KMS AWS	Etiquetado	key*
TagResource		Etiquetado		aws:RequestTag/${TagKey} aws:TagKeys kms:CallerAccount kms:ViaService
UntagResource	Controla el permiso para eliminar las etiquetas adjuntas a una clave de AWS KMS	Etiquetado	key*
UntagResource		Etiquetado		aws:TagKeys kms:CallerAccount kms:ViaService
UpdateAlias	Controla el permiso para asociar un alias a una clave de AWS KMS diferente. Un alias es un nombre sencillo opcional que se puede asociar a una clave KMS de	Escritura	alias*
			key*
				kms:CallerAccount kms:ViaService
UpdateCustomKeyStore	Controla el permiso para cambiar las propiedades de un almacén de claves personalizadas.	Escritura		kms:CallerAccount
UpdateKeyDescription	Controla el permiso para eliminar o cambiar la descripción de una clave de AWS KMS	Escritura	key*
UpdateKeyDescription		Escritura		kms:CallerAccount kms:ViaService
UpdatePrimaryRegion	Controla el permiso para actualizar la región principal de una clave principal de varias regiones.	Escritura	key*
UpdatePrimaryRegion		Escritura		kms:CallerAccount kms:PrimaryRegion kms:ViaService
Verify	Controla el permiso para usar la clave AWS KMS especificada para verificar las firmas digitales	Escritura	key*
Verify		Escritura		kms:CallerAccount kms:MessageType kms:RequestAlias kms:SigningAlgorithm kms:ViaService
VerifyMac	Controla el permiso para usar la clave AWS KMS para verificar los códigos de autenticación de los mensajes	Escritura	key*
VerifyMac		Escritura		kms:CallerAccount kms:MacAlgorithm kms:RequestAlias kms:ViaService

Tipos de recursos definidos por AWS Key Management Service

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición

alias arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}

Tipos de recurso	ARN	Claves de condición
alias	`arn:${Partition}:kms:${Region}:${Account}:alias/${Alias}`
key	`arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}`	aws:ResourceTag/${TagKey} kms:KeyOrigin kms:KeySpec kms:KeyUsage kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases

key

arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

aws:ResourceTag/${TagKey}

kms:MultiRegionKeyType

kms:ResourceAliases

Claves de condición para AWS Key Management Service

AWS El Servicio de administración de claves define las siguientes claves de condición que se pueden usar como Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte las claves de contexto de condición AWS globales.

Claves de condición	Descripción	Tipo
aws:RequestTag/${TagKey}	Filtra el acceso a las operaciones de AWS KMS especificadas en función de la clave y el valor de la etiqueta de la solicitud	Cadena
aws:ResourceTag/${TagKey}	Filtra el acceso a las operaciones de AWS KMS especificadas en función de las etiquetas asignadas a la clave de AWS KMS	Cadena
aws:TagKeys	Filtra el acceso a las operaciones de AWS KMS especificadas en función de las claves de etiqueta de la solicitud	ArrayOfString
kms:BypassPolicyLockoutSafetyCheck	Filtra el acceso a PutKeyPolicy las operaciones CreateKey y en función del valor del BypassPolicyLockoutSafetyCheck parámetro de la solicitud	Bool
kms:CallerAccount	Filtra el acceso a determinadas operaciones de AWS KMS en función del Cuenta de AWS identificador de la persona que llama. Puede usar esta clave de condición para permitir o denegar el acceso a todos los usuarios y roles de IAM Cuenta de AWS en una declaración de política única	Cadena
kms:CustomerMasterKeySpec	La clave de kms: CustomerMasterKeySpec condición está obsoleta. En su lugar, utilice la clave de kms: KeySpec condición	Cadena
kms:CustomerMasterKeyUsage	La clave de kms: CustomerMasterKeyUsage condición está obsoleta. En su lugar, utilice la clave de kms: KeyUsage condición	Cadena
kms:DataKeyPairSpec	Filtra el acceso GenerateDataKeyPair y GenerateDataKeyPairWithoutPlaintext las operaciones en función del valor del KeyPairSpec parámetro de la solicitud	Cadena
kms:EncryptionAlgorithm	Filtra el acceso a las operaciones de cifrado en función del valor del algoritmo de cifrado de la solicitud.	Cadena
kms:EncryptionContext:${EncryptionContextKey}	Filtra el acceso a una clave AWS KMS simétrica en función del contexto de cifrado de una operación criptográfica. Esta clave de condición evalúa la clave y el valor de cada par de valor de clave en el contexto de cifrado.	Cadena
kms:EncryptionContextKeys	Filtra el acceso a una clave AWS KMS simétrica en función del contexto de cifrado de una operación criptográfica. Esta clave de condición solo evalúa la clave de cada par de valor de clave en el contexto de cifrado.	ArrayOfString
kms:ExpirationModel	Filtra el acceso a la ImportKeyMaterial operación en función del valor del ExpirationModel parámetro de la solicitud	Cadena
kms:GrantConstraintType	Filtra el acceso a la CreateGrant operación en función de la restricción de concesión de la solicitud	Cadena
kms:GrantIsForAWSResource	Filtra el acceso a la CreateGrant operación cuando la solicitud proviene de un servicio específico AWS	Bool
kms:GrantOperations	Filtra el acceso a la CreateGrant operación en función de las operaciones de la concesión	ArrayOfString
kms:GranteePrincipal	Filtra el acceso a la CreateGrant operación en función del beneficiario principal de la subvención	Cadena
kms:KeyAgreementAlgorithm	Filtra el acceso a la DeriveSharedSecret operación en función del valor del KeyAgreementAlgorithm parámetro de la solicitud	Cadena
kms:KeyOrigin	Filtra el acceso a una operación de API en función de la propiedad Origin de la clave AWS KMS creada o utilizada en la operación. Se usa para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para una clave de KMS	Cadena
kms:KeySpec	Filtra el acceso a una operación de API en función de la KeySpec propiedad de la clave de AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS	Cadena
kms:KeyUsage	Filtra el acceso a una operación de API en función de la KeyUsage propiedad de la clave de AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS	Cadena
kms:MacAlgorithm	Filtra el acceso a VerifyMac las operaciones GenerateMac y en función del MacAlgorithm parámetro de la solicitud	Cadena
kms:MessageType	Filtra el acceso a las operaciones de firma y verificación en función del valor del MessageType parámetro de la solicitud	Cadena
kms:MultiRegion	Filtra el acceso a una operación de API en función de la MultiRegion propiedad de la clave AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS	Bool
kms:MultiRegionKeyType	Filtra el acceso a una operación de API en función de la MultiRegionKeyType propiedad de la clave de AWS KMS creada o utilizada en la operación. Utilícela para calificar la autorización de la CreateKey operación o cualquier operación que esté autorizada para un recurso clave de KMS	Cadena
kms:PrimaryRegion	Filtra el acceso a la UpdatePrimaryRegion operación en función del valor del PrimaryRegion parámetro de la solicitud	Cadena
kms:ReEncryptOnSameKey	Filtra el acceso a la ReEncrypt operación cuando usa la misma clave AWS KMS que se usó para la operación de cifrado	Bool
kms:RecipientAttestation:ImageSha384	Filtra el acceso a las operaciones de la API en función del hash de la imagen que figura en el documento de certificación de la solicitud	Cadena
kms:RecipientAttestation:NitroTPMPCR0	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 0 del documento de certificación de la solicitud. El PCR0 es una medida contigua del código ejecutable del firmware del sistema principal	Cadena
kms:RecipientAttestation:NitroTPMPCR1	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 1 que figura en el documento de certificación de la solicitud. PCR1 es una medida contigua de la configuración de la data/host plataforma, el firmware del sistema principal y, por lo general, incluye los números de serie y modelo	Cadena
kms:RecipientAttestation:NitroTPMPCR10	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 10 que figura en el documento de certificación de la solicitud. PCR10 es una medida contigua de protección del registro de mediciones del IMA	Cadena
kms:RecipientAttestation:NitroTPMPCR11	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 11 que figura en el documento de certificación de la solicitud. PCR11 es una medida contigua de todos los componentes de las imágenes unificadas del núcleo () UKIs	Cadena
kms:RecipientAttestation:NitroTPMPCR12	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 12 que figura en el documento de certificación de la solicitud. PCR12 es una medida contigua de la línea de comandos del núcleo, las credenciales del sistema y las imágenes de configuración del sistema	Cadena
kms:RecipientAttestation:NitroTPMPCR13	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 13 que figura en el documento de certificación de la solicitud. PCR13 es una medida contigua de todas las imágenes de extensión del sistema para el initrd	Cadena
kms:RecipientAttestation:NitroTPMPCR14	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 14 que figura en el documento de certificación de la solicitud. PCR14 es una medida contigua de los certificados y hashes «MOK»	Cadena
kms:RecipientAttestation:NitroTPMPCR15	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 15 que figura en el documento de certificación de la solicitud. PCR15 es una medida contigua del volumen del sistema de archivos raíz (clave de cifrado)	Cadena
kms:RecipientAttestation:NitroTPMPCR16	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 16 en el documento de certificación de la solicitud. PCR16 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR17	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 17 que figura en el documento de certificación de la solicitud. PCR17 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR18	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 18 que figura en el documento de certificación de la solicitud. PCR18 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR19	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 19 que figura en el documento de certificación de la solicitud. PCR19 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR2	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 2 que figura en el documento de certificación de la solicitud. PCR2 es una medida contigua del código ejecutable extendido o conectable, que incluye la opción de un hardware conectable ROMs	Cadena
kms:RecipientAttestation:NitroTPMPCR20	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 20 que figura en el documento de certificación de la solicitud. PCR20 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR21	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 21 en el documento de certificación de la solicitud. PCR21 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR22	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 22 en el documento de certificación de la solicitud. PCR22 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR23	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 23 en el documento de certificación de la solicitud. PCR23 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR3	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 3 que figura en el documento de certificación de la solicitud. PCR3 es una medida contigua de los datos de firmware extendidos o conectables, que incluye información sobre el hardware conectable	Cadena
kms:RecipientAttestation:NitroTPMPCR4	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 4 que figura en el documento de certificación de la solicitud. PCR4 es una medida contigua del gestor de arranque y los controladores adicionales, incluidos los archivos binarios y las extensiones cargados por el gestor de arranque	Cadena
kms:RecipientAttestation:NitroTPMPCR5	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 5 que figura en el documento de certificación de la solicitud. PCR5 es una medida contigua de la tabla GPT/Partition	Cadena
kms:RecipientAttestation:NitroTPMPCR6	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 6 que figura en el documento de certificación de la solicitud. PCR6 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:NitroTPMPCR7	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 7 que figura en el documento de certificación de la solicitud. PCR7 es una medida contigua del estado SecureBoot	Cadena
kms:RecipientAttestation:NitroTPMPCR8	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 8 que figura en el documento de certificación de la solicitud. PCR8 es una medida contigua de los comandos y la línea de comandos del núcleo	Cadena
kms:RecipientAttestation:NitroTPMPCR9	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 9 en el documento de certificación de la solicitud. PCR9 es una medida contigua de todos los archivos leídos (incluida la imagen del núcleo)	Cadena
kms:RecipientAttestation:PCR0	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 0 en el documento de certificación de la solicitud. El PCR0 es una medida contigua del contenido del archivo de imagen del enclave, sin los datos de la sección	Cadena
kms:RecipientAttestation:PCR1	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 1 que figura en el documento de certificación de la solicitud. PCR1 es una medida contigua de los datos del kernel y del bootstrap de Linux	Cadena
kms:RecipientAttestation:PCR10	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 10 en el documento de certificación de la solicitud. PCR10 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR11	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 11 del documento de certificación de la solicitud. PCR11 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR12	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 12 que figura en el documento de certificación de la solicitud. PCR12 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR13	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 13 que figura en el documento de certificación de la solicitud. PCR13 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR14	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 14 que figura en el documento de certificación de la solicitud. PCR14 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR15	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 15 que figura en el documento de certificación de la solicitud. PCR15 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR16	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 16 que figura en el documento de certificación de la solicitud. PCR16 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR17	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 17 que figura en el documento de certificación de la solicitud. PCR17 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR18	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 18 que figura en el documento de certificación de la solicitud. PCR18 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR19	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 19 que figura en el documento de certificación de la solicitud. PCR19 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR2	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 2 que figura en el documento de certificación de la solicitud. PCR2 es una medición contigua y ordenada de las aplicaciones del usuario, sin las ramfs de arranque	Cadena
kms:RecipientAttestation:PCR20	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 20 que figura en el documento de certificación de la solicitud. PCR20 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR21	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 21 en el documento de certificación de la solicitud. PCR21 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR22	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 22 en el documento de certificación de la solicitud. PCR22 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR23	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 23 en el documento de certificación de la solicitud. PCR23 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR24	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 24 en el documento de certificación de la solicitud. PCR24 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR25	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 25 que figura en el documento de certificación de la solicitud. PCR25 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR26	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 26 que figura en el documento de certificación de la solicitud. PCR26 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR27	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 27 que figura en el documento de certificación de la solicitud. PCR27 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR28	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 28 que figura en el documento de certificación de la solicitud. PCR28 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR29	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 29 del documento de certificación de la solicitud. PCR29 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR3	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 3 que figura en el documento de certificación de la solicitud. PCR3 es una medida contigua de la función de IAM asignada a la instancia principal	Cadena
kms:RecipientAttestation:PCR30	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 30 del documento de certificación de la solicitud. PCR30 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR31	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 31 del documento de certificación de la solicitud. PCR31 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR4	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 4 en el documento de certificación de la solicitud. PCR4 es una medida contigua del ID de la instancia principal	Cadena
kms:RecipientAttestation:PCR5	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 5 en el documento de certificación de la solicitud. PCR5 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR6	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 6 que figura en el documento de certificación de la solicitud. PCR6 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR7	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 7 que figura en el documento de certificación de la solicitud. PCR7 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:RecipientAttestation:PCR8	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 8 que figura en el documento de certificación de la solicitud. PCR8 es una medida del certificado de firma especificado para el archivo de imagen del enclave	Cadena
kms:RecipientAttestation:PCR9	Filtra el acceso mediante el registro de configuración de la plataforma (PCR) 9 del documento de certificación de la solicitud. PCR9 es un PCR personalizado que el usuario puede definir para casos de uso específicos	Cadena
kms:ReplicaRegion	Filtra el acceso a la ReplicateKey operación en función del valor del ReplicaRegion parámetro de la solicitud	Cadena
kms:RequestAlias	Filtra el acceso a las operaciones criptográficas y GetPublicKey se basa en el alias de la solicitud DescribeKey	Cadena
kms:ResourceAliases	Filtra el acceso a operaciones de AWS KMS específicas en función de los alias asociados a la AWS clave de KMS	ArrayOfString
kms:RetiringPrincipal	Filtra el acceso a la CreateGrant operación en función del principal de la concesión que se jubila	Cadena
kms:RotationPeriodInDays	Filtra el acceso a la EnableKeyRotation operación en función del valor del RotationPeriodInDays parámetro de la solicitud	Numérico
kms:ScheduleKeyDeletionPendingWindowInDays	Filtra el acceso a la ScheduleKeyDeletion operación en función del valor del PendingWindowInDays parámetro de la solicitud	Numérico
kms:SigningAlgorithm	Filtra el acceso a las operaciones Sign y Verify en función del algoritmo de firma de la solicitud	Cadena
kms:ValidTo	Filtra el acceso a la ImportKeyMaterial operación en función del valor del ValidTo parámetro de la solicitud. Puede utilizar esta clave de condición para permitir a los usuarios importar el material de claves solo cuando se alcance la fecha de expiración especificada.	Date
kms:ViaService	Filtra el acceso cuando una solicitud realizada en nombre del principal proviene de un AWS servicio específico	Cadena
kms:WrappingAlgorithm	Filtra el acceso a la GetParametersForImport operación en función del valor del WrappingAlgorithm parámetro de la solicitud	Cadena
kms:WrappingKeySpec	Filtra el acceso a la GetParametersForImport operación en función del valor del WrappingKeySpec parámetro de la solicitud	Cadena

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon Kendra Intelligent Ranking

Amazon Keyspaces (for Apache Cassandra)