Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de recursos en permisos verificados de Amazon
Amazon Verified Permissions proporciona cifrado de forma predeterminada para proteger los datos confidenciales de los clientes en reposo mediante claves de cifrado AWS propias. Como capa adicional de protección, Amazon Verified Permissions te permite cifrar tus almacenes de pólizas mediante AWS Key Management Service (AWS KMS) clave administrada por el cliente s (CMK). Esta funcionalidad garantiza la protección de los datos confidenciales mediante el cifrado en reposo, lo que le ayuda a:
-
Reduzca la carga operativa de su aplicación para proteger los datos confidenciales
-
Mantenga el control sobre quién puede ver los detalles de sus políticas de autorización a través de sus propios AWS KMS clave administrada por el cliente medios
-
Creación de aplicaciones sensibles a la seguridad que necesitan cumplimiento estricto de cifrado y requisitos normativos
En las siguientes secciones se explica cómo configurar el cifrado para los nuevos almacenes de políticas y cómo administrar las claves de cifrado.
AWS KMS Tipos de claves para los permisos verificados de Amazon
Amazon Verified Permissions se integra AWS KMS para gestionar las claves de cifrado utilizadas para los datos de los encrypting/decrypting clientes. Para obtener más información acerca de los tipos y estados de las claves, consulte los conceptos de AWS Key Management Service en la Guía para desarrolladores de AWS KMS . Al crear un nuevo almacén de políticas, puede elegir entre los siguientes tipos de AWS KMS claves para cifrar sus datos:
AWS Clave propia
El tipo de cifrado predeterminado. Amazon Verified Permissions es el propietario de la clave sin coste adicional para usted y cifra los datos de los recursos en reposo en el momento de su creación. No es necesario realizar ninguna configuración adicional en el código o las aplicaciones de encrypt/decrypt sus datos mediante la clave propiedad de Verified Permissions.
Clave gestionada por el cliente
Tú creas, eres el propietario y administras la clave de tu AWS cuenta. Tienes el control total sobre la AWS KMS clave. AWS KMS se aplican cargos para clave administrada por el cliente nosotros. Para obtener más información, consulte la Página
Al especificar una clave administrada por el cliente para el cifrado de los recursos de nivel superior (es decir, el almacén de políticas), Verified Permissions cifra el recurso, así como sus recursos secundarios, con esa clave. Para cifrar un almacén de políticas mediante una clave administrada por el cliente, debes conceder acceso a los permisos verificados de tu política de claves. Una política de claves es una política basada en recursos que se adjunta para controlar el acceso clave administrada por el cliente a la misma. Consulte Autorizar el uso de tu AWS KMS clave para los permisos verificados de Amazon para obtener más detalles.
Además, para crear un almacén de políticas cifrado con un almacén de políticas cifrado por un clave administrada por el cliente, o para realizar llamadas a la API a un almacén de políticas cifrado por un clave administrada por el cliente, el usuario o rol de IAM que realiza la llamada también debe tener acceso a la clave. Si Verified Permissions no puede acceder a la clave, cualquier decisión de autorización que involucre recursos cifrados por esa clave puede estar obsoleta o ser inexacta. Si no tiene acceso a la clave, no podrá cifrar read/update/delete los recursos con esa clave y fallará cualquier llamada de creación para utilizarla con fines de cifrado.
nota
El cifrado de permisos verificados en reposo está disponible en todas AWS las regiones en las que están disponibles los permisos verificados.
importante
Una vez que se clave administrada por el cliente ha utilizado para cifrar un almacén de políticas, NO PUEDE actualizar el recurso para utilizar una clave de cifrado diferente ni eliminar la clave de ese almacén de políticas.
Uso AWS KMS y claves de datos con permisos verificados de Amazon
La función de cifrado en reposo de Amazon Verified Permissions utiliza una AWS KMS clave y una jerarquía de claves de datos para proteger los datos de sus recursos.
nota
Amazon Verified Permissions solo admite AWS KMS claves simétricas. No puedes usar una AWS KMS clave asimétrica para cifrar tus recursos de permisos verificados de Amazon.
Uso de claves propias AWS
Amazon Verified Permissions cifra todos los recursos de forma predeterminada con claves AWS propias. Estas claves son de uso gratuito y se rotan anualmente para proteger los recursos de la cuenta. No necesita ver, administrar, usar ni auditar estas claves, por lo que no es necesario realizar ninguna acción para proteger los datos. Para obtener más información sobre las claves AWS propias, consulta las claves AWS propias en la Guía para AWS KMS desarrolladores.
Uso de claves administradas por el cliente
La selección de una clave administrada por el cliente para el cifrado ofrece las siguientes ventajas:
-
Usted crea y administra la AWS KMS clave, incluida la configuración de las políticas clave y IAM las políticas para controlar el acceso a la AWS KMS clave. Puede activar y desactivar la AWS KMS clave, activar y desactivar la rotación automática de claves y eliminar la AWS KMS clave cuando ya no esté en uso.
-
Puede utilizar una clave administrada por el cliente con material clave importado o clave administrada por el cliente en un almacén de claves personalizado que sea de su propiedad y que administre.
-
Puede auditar el cifrado y el descifrado de sus recursos de permisos verificados examinando las llamadas a la API de permisos verificados de Amazon AWS KMS en los AWS CloudTrail registros.
Para que Amazon Verified Permissions utilice su clave administrada por el cliente s for encryption/decryption, you will need to add specific key policies to allow Amazon Verified Permissions to encrypt/decrypt recursos en su nombre.
Autorizar el uso de tu AWS KMS clave para los permisos verificados de Amazon
Como mínimo, Amazon Verified Permissions requiere los siguientes permisos en un clave administrada por el cliente:
kms:Encryptkms:GenerateDataKeyWithoutPlaintextkms:DescribeKeykms:ReEncryptTokms:ReEncryptFromkms:Decrypt
A continuación se muestra un ejemplo de política clave:
{ "Sid": "Enable AVP to use the KMS key for encrypting project J.A.K. policy resources", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*" }
Comprensión del contexto de la fuente
El contexto de la fuente proporciona información sobre la persona que llama de origen que intenta realizar AWS KMS acciones contra una clave determinada. Esto evita la confusión o el uso indebido de los datos cifrados al vincular el contexto a la fuente de los datos.
Los clientes pueden utilizar el contexto de origen como condiciones adicionales en su política clave, como las siguientes declaraciones de política clave:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } } ] }
Esta política clave permite a Verified Permissions realizar AWS KMS llamadas en tu nombre, si la cuenta de origen es la misma que la cuenta en la que reside la AWS KMS clave. Estos valores deben poder verificarse al comprobar la clave CMK en los registros de AWS CloudTrail auditoría. Para obtener más información sobre las claves de AWS condición globales, consulte Uso aws:SourceArn de nuestras claves de aws:SourceAccount condición.
Comprensión del contexto de cifrado
El contexto de cifrado es un conjunto de pares clave-valor que contienen datos autenticados adicionales para comprobar la integridad del cifrado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe pasar por el mismo contexto de cifrado.
Amazon Verified Permissions utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas y se pueden verificar en AWS CloudTrail los registros cuando Verified Permissions realiza AWS KMS llamadas en su nombre para encryption/decryption procesar. De forma predeterminada, Verified Permissions utiliza los siguientes pares clave-valor del contexto de cifrado al cifrar sus recursos:
{ "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }
Los permisos verificados de Amazon también le permiten añadir un contexto de cifrado personalizado como parte de los metadatos adicionales que desee incluir durante encryption/decryption los procesos. Esto significa que su política de claves puede ser más precisa a la hora de conceder permisos, como en el ejemplo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
Esta política de claves permite a Verified Permissions realizar AWS KMS llamadas en tu nombre si el mapa de contexto de cifrado contiene una clave aws:verifiedpermissions:policy-store-arn cuyo valor sigue el formato de arn:aws:verifiedpermissions::111122223333:policy-store/* y también contiene un par clave-valor. "policy_owner": "Tim" Consulte Creación de un almacén de políticas cifradas para saber cómo configurar un contexto de cifrado personalizado.
nota
Se recomienda que las políticas clave con condiciones basadas en el contexto de cifrado pertenezcan a un subconjunto del mapa de contexto de cifrado, en lugar de comprobar cada par clave-valor. Es posible que el servicio y sus dependencias iniciales agreguen pares clave-valor adicionales que no estén visibles para usted y, si la política de claves lo permite condicionalmente, pueden afectar al acceso a las claves de Verified Permissions, en función del aspecto exacto del mapa contextual de cifrado.
Comprensión kms: ViaService
La clave de kms:ViaService condición limita el uso de una AWS KMS clave a las solicitudes de AWS servicios específicos. Esta clave de condición solo se aplica a las sesiones de acceso directo (FAS). Para obtener más informaciónkms:ViaService, consulte kms: ViaService en la Guía para AWS KMS desarrolladores.
Por ejemplo, la siguiente declaración de política clave utiliza la clave de kms:ViaService condición para permitir que clave administrada por el clientea se utilice para las acciones especificadas solo cuando la solicitud proviene de Amazon Verified Permissions en la región EE.UU. Este (Virginia del Norte) en nombre deBrentRole.
{ "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] } } }
Esto es necesario para que Verified Permissions pueda transmitir su identidad, permisos y atributos de sesión cuando Verified Permissions solicite AWS KMS en su nombre el cifrado o descifrado. Para obtener más información sobre las solicitudes de FAS, consulte las sesiones de acceso directo en la Guía del IAM usuario.
Política AWS KMS clave completa
Basado en los conceptos de las secciones anteriores, este es un ejemplo de política clave que permitirá a Amazon Verified Permissions utilizar una CMK para el cifrado o descifrado:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim", "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] }, "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
aviso
Tenga cuidado al modificar las políticas AWS KMS clave para las claves que Amazon Verified Permissions ya utiliza. Si bien Verified Permissions valida los permisos de cifrado y descifrado al configurar inicialmente una AWS KMS clave durante la creación de un recurso de nivel superior, no puede verificar los cambios de política posteriores a pedido. La eliminación inadvertida de los permisos necesarios podría interrumpir sus decisiones de autorización y los flujos habituales del servicio de permisos verificados. Para obtener orientación sobre la solución de errores comunes relacionados clave administrada por el cliente con los permisos verificados de Amazon, consulteSolucionar problemas con las claves gestionadas por el cliente en los permisos verificados de Amazon.
IAM Políticas necesarias para los recursos cifrados
Los clientes que llamen a Verified Permissions a través de un IAM rol dentro de su cuenta deberán asegurarse de que la IAM política correspondiente cuente con los permisos adecuados clave administrada por el cliente para utilizarlos para cifrar y descifrar los recursos.
Para crear almacenes de políticas cifrados mediante un clave administrada por el cliente, la siguiente IAM política ilustra las acciones mínimas necesarias AWS KMS y las relacionadas con los permisos verificados para hacerlo:
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:CreatePolicyStore", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
nota
Para recuperar (operaciones Get* y List*) y eliminar los almacenes de políticas cifrados por a clave administrada por el cliente, no se necesitan permisos adicionales.
Para actualizar un almacén de políticas cifrado por a clave administrada por el cliente, recuperar (operaciones Get* y List*), actualizar y eliminar los recursos secundarios de un almacén de políticas cifrado por a clave administrada por el cliente, la siguiente IAM política ilustra las acciones mínimas necesarias AWS KMS y verificadas para ello:
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt" ], "Resource": "*", "Effect": "Allow" } ] }
Como IAM política única, los clientes simplemente pueden añadir lo siguiente a su política de funciones: IAM
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
Administración de almacenes de políticas cifradas
Los almacenes de políticas son el contenedor básico que contendrá todos los recursos de políticas relacionados. Para obtener más información sobre los almacenes de políticas y la jerarquía de los recursos secundarios, consulte los almacenes de políticas de permisos verificados de Amazon en la Guía del usuario de permisos verificados de Amazon.
Al crear un almacén de políticas en Verified Permissions, puedes activar el cifrado en reposo mediante AWS KMS claves. Esto garantiza que:
-
Todas las operaciones de lectura, actualización y eliminación de los almacenes de políticas y sus recursos secundarios utilizarán lo proporcionado clave administrada por el cliente para los procesos de descifrado
-
Cualquier llamada de decisión de autorización (es decir IsAuthorized BatchIsAuthorized, IsAuthorizedWithToken,, etc.) utilizará lo proporcionado clave administrada por el cliente para los procesos de descifrado
Creación de un almacén de políticas cifradas
Antes de crear un almacén de políticas cifradas, asegúrate de que el que clave administrada por el cliente estás utilizando tenga establecidas las declaraciones de políticas clave adecuadas para que Amazon Verified Permissions utilice la clave para el cifrado o descifrado. Consulta qué Autorizar el uso de tu AWS KMS clave para los permisos verificados de Amazon permisos son necesarios.
Uso de AWS CLI:
aws verifiedpermissions create-policy-store --region us-east-1 --encryption-settings file://encrypted.json --validation-settings "{\"mode\": \"OFF\"}"
Dónde encrypted.json se ve así:
{ "kmsEncryptionSettings": { "key": "arn:aws:kms:us-east-1:111122223333:key/12345678-90ab-cdef-ghij-klmnopqrstuv", "encryptionContext": { "<ENCRYPTION_CONTEXT_KEY_1>": "<ENCRYPTION_CONTEXT_VALUE_1>", "<ENCRYPTION_CONTEXT_KEY_2>": "<ENCRYPTION_CONTEXT_VALUE_2>", ... } } }
Asegúrese de reemplazar por key su clave administrada por el cliente ARN y de reemplazar <ENCRYPTION_CONTEXT_KEY> y por los <ENCRYPTION_CONTEXT_VALUE> pares clave-valor deseadosencryptionContext. encryptionContextse puede omitir por completo si no se desea sumar pares clave-valor.
importante
No incluya el par clave-valor aws:verifiedpermissions:policy-store-arn en su contexto de cifrado personalizado. Esto se agrega automáticamente y provocará errores de validación si forma parte de los pares clave-valor del contexto de cifrado personalizado que haya aprobado.
Para obtener más información sobre los recursos secundarios disponibles APIs en un almacén de políticas, consulte Acciones en la Guía de referencia de la API de permisos verificados de Amazon.
nota
Si los AWS KMS clave administrada por el cliente recursos de permisos verificados de Amazon que están utilizando se eliminan, deshabilitan o no se puede acceder a ellos debido a una política de AWS KMS claves incorrecta, el descifrado de los recursos fallará y, por lo tanto, las decisiones de autorización quedarán obsoletas. La pérdida de acceso puede ser temporal (se puede corregir una política de claves) o permanente (no se puede restaurar una clave eliminada), según las circunstancias. Le recomendamos que restrinja el acceso a las operaciones críticas, como eliminar o deshabilitar la clave. AWS KMS Además, le recomendamos que su organización establezca procedimientos de acceso AWS innovadores para garantizar que sus usuarios privilegiados puedan acceder AWS en el improbable caso de que Amazon Verified Permissions no esté accesible.
Supervisión de la interacción de permisos verificados de Amazon con AWS KMS
Puedes supervisar el uso que Amazon Verified Permissions hace de tu clave administrada por el cliente canal. AWS CloudTrail Cada solicitud a AWS KMS través de permisos verificados incluye el contexto de cifrado y la clave ARN que se utiliza (su clave administrada por el cliente) en los parámetros de la solicitud:
Ejemplo de entrada de AWS CloudTrail registro paraGenerateDataKeyWithoutPlaintext:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKeyWithoutPlaintext", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_editor": "Janus" }, ... }, ... }
Ejemplo de entrada de AWS CloudTrail registro paraDecrypt:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:53:21Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_owner": "Elias" } }, ... }
Ejemplo de entrada de AWS CloudTrail registro paraReEncrypt:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "ReEncrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "sourceKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "destinationEncryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT", "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "sourceEncryptionContext": { "aws:verifiedpermissions:policy_store_arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT", ... }, ... }
Tenga en cuenta que las entradas del registro incluyen invokedBy referencias al director de Amazon Verified Permissions y encryptionContext/sourceEncryptionContext/destinationEncryptionContext están incluidas en el mapa. requestParameters
Ejemplo de entrada de AWS CloudTrail registro para: DescribeKey
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx" }, ... }
Tenga en cuenta que la entrada del registro incluye una invokedBy referencia al director de Amazon Verified Permissions.
Para obtener más información sobre las entradas de AWS CloudTrail registro, consulte Descripción de los AWS CloudTrail eventos en la Guía del AWS CloudTrail usuario.
Limitaciones
En este tema se describen las limitaciones actuales de los permisos verificados y el uso de clave administrada por el cliente s para cifrar los recursos.
No puede deshabilitar el cifrado de un almacén de políticas una vez activado
Después de crear un almacén de políticas sin cifrado, no puede actualizar el almacén de políticas para que lo cifre un clave administrada por el cliente
Tras revocar los permisos verificados de acceso a un almacén clave administrada por el cliente de políticas cifradas existente, es posible que las decisiones de autorización queden obsoletas
Después de crear un almacén de políticas con un clave administrada por el cliente, no puede modificar los valores de contexto de cifrado personalizados; son valores estáticos que se establecen durante la creación del almacén de políticas cifrado
Solucionar problemas con las claves gestionadas por el cliente en los permisos verificados de Amazon
En este tema se describen los errores clave administrada por el cliente relacionados más comunes que se pueden encontrar al utilizar los permisos verificados de Amazon y se proporcionan los pasos de solución de problemas para resolverlos.
Acceso denegado: problema de AWS KMS permiso
Error: «El servicio o la persona que llama no están autorizados a usar la AWS KMS clave proporcionada porque el recurso no existe en esta región, no hay políticas basadas en recursos que permitan el acceso o porque una política basada en recursos deniega el acceso de forma explícita»
Esto podría significar que el servicio o la persona que llama carece de los permisos de kms:* acción requeridos en su IAM política/política AWS KMS clave o que la clave a la que se hace referencia no existe o ya no existe.
Solución de problemas con: AWS CloudTrail
Busque
kms.amazonaws.com.rproxy.govskope.caeventos en AWS CloudTrailBusque el nombre del evento de la AWS KMS operación que se identificó como no permitida (es decir
DecryptReEncrypt,GenerateDataKeyWithoutPlaintext,DescribeKey,, etc.)Revise los campos
errorCodeyerrorMessageCompruebe
userIdentitypara confirmar qué entidad principal intentó realizar la operación
Para resolver este problema, conceda al usuario o IAM director los permisos de acceso a la AWS KMS operación adecuados en su IAM política y política AWS KMS clave. Para obtener más información, consulte Política AWS KMS clave completa.
Excepción de validación: configuración AWS KMS clave
Error: « AWS KMS La clave configurada no tiene una configuración válida»
Esto significa que el servicio no puede utilizar la clave a la que se hace referencia para el clave administrada por el cliente cifrado debido a su configuración actual. Los motivos pueden incluir que la clave esté deshabilitada, que la clave no sea compatible EncryptionAlgorithm o que sea de un tipo no compatible KeyUsage .
Excepción de limitación: límites de velocidad AWS KMS
Error: «Has superado la frecuencia a la que puedes llamar» AWS KMS
Este error significa que ha superado el AWS KMS límite de operaciones criptográficas para su clave: https://docs.aws.amazon.com/kms/latest/developerguide/requests-per-second.html.
Información relacionada
