Políticas de chave do KMS Concessões de chave do KMS

Acesso e permissões de chave do KMS

Para usar AWS KMS, você deve ter credenciais que a AWS possa usar para autenticar suas solicitações. As credenciais devem incluir permissões para acessar os recursos da AWS: AWS KMS keys e aliases. Nenhuma entidade principal da AWS tem permissão para uma chave do KMS, a menos que essa permissão seja fornecida explicitamente e nunca seja negada. Não há permissão implícita ou automática para usar ou gerenciar uma chave do KMS.

Para controlar o acesso às suas chaves do KMS, você pode usar os seguintes mecanismos de política.

Política de chaves: cada chave do KMS tem uma política de chave. Esse é o mecanismo principal para controlar o acesso a uma chave do KMS. Você pode usar apenas a política de chaves para controlar o acesso, ou seja, o escopo completo de acesso à chave do KMS é definido em um único documento (a política de chaves). Para mais informações sobre como usar políticas de chaves, consulte Políticas de chaves.
Políticas do IAM: você pode usar políticas do IAM combinadas com a política de chaves e concessões para controlar o acesso a uma chave do KMS. Com esse controle de acesso, você pode gerenciar todas as permissões para suas identidades do IAM no IAM. Para usar uma política do IAM para permitir o acesso a uma chave do KMS, a política de chaves deve explicitamente permitir isso. Para mais informações sobre como usar políticas do IAM, consulte Políticas do IAM.
Concessões: você pode usar concessões combinadas com a política de chaves e políticas do IAM para permitir o acesso a uma chave do KMS. Controlar o acesso dessa maneira possibilita permitir o acesso à chave do KMS na política de chaves e permitir que as identidades deleguem o acesso para outras pessoas. Para obter mais informações sobre como usar concessões, consulte Concessões no AWS KMS.

Políticas de chave do KMS

A principal maneira de gerenciar o acesso aos seus recursos do AWS KMS é por meio de políticas. Políticas são documentos que descrevem quais entidades principais podem acessar recursos específicos. As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (ou políticas do IAM), e as políticas anexadas a outros tipos de recurso são conhecidas como políticas baseadas em recursos. As políticas de recursos do AWS KMS para chaves do KMS são chamadas de políticas de chaves.

Todas as chaves do KMS têm uma política de chaves. Se você não fornecer uma, o AWS KMS criará um para você. A política de chave padrão que o AWS KMS usa é diferente dependendo se você cria a chave no console do AWS KMS ou se usa a API do AWS KMS. Recomendamos que você edite a política de chave padrão para se alinhar aos requisitos de permissões de privilégios mínimos da sua organização.

É possível usar apenas a política de chave para controlar o acesso se a chave e a entidade principal do IAM estiverem na mesma conta da AWS, ou seja, se o escopo completo de acesso à chave do KMS estiver definido em um único documento (a política de chave). No entanto, quando um chamador em uma conta precisar acessar uma chave em outra conta, você não poderá usar a política de chave sozinha para conceder acesso. No cenário entre contas, uma política do IAM deverá ser anexada ao usuário ou ao perfil do chamador permitindo explicitamente que o chamador faça a chamada de API.

Você também pode usar políticas do IAM juntamente com políticas de chave e concessões para controlar o acesso à uma chave do KMS. Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chave deve conceder permissão para a conta usar políticas do IAM. Você pode especificar uma declaração de política de chave que habilite as políticas do IAM ou pode especificar as entidades principais permitidas explicitamente na política de chave.

Ao escrever políticas, certifique-se de ter controles rígidos que restrinjam quem pode realizar as seguintes ações:

Atualizar, criar e excluir políticas de chave do IAM e do KMS
Anexar e desanexar políticas do IAM de usuários, perfis e grupos
Anexar e desanexar políticas de chaves do KMS de suas chaves do KMS

Concessões de chave do KMS

Além do IAM e das políticas de chave, o AWS KMS é compatível com concessões. As concessões oferecem uma maneira flexível e poderosa de delegar permissões. Você pode usar concessões para emitir acesso por chave do KMS com prazo determinado para as entidades principais do IAM em sua conta da AWS ou em outras contas da AWS. Recomendamos emitir acesso com limite de tempo se você não souber os nomes das entidades principais no momento em que as políticas foram criadas ou se as entidades principais que precisam acesso mudarem com frequência. A entidade principal receptora da concessão pode estar na mesma conta que a chave do KMS ou em outra conta. Se a entidade principal e a chave do KMS estiverem em contas diferentes, você deverá especificar uma política do IAM além da concessão. As concessões exigem gerenciamento adicional porque você precisa chamar uma API para criar a concessão e retirar ou revogar a concessão quando ela não for mais necessária.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Algoritmos compatíveis

Políticas de chaves