As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controlar o acesso à exclusão de chaves
Se você usar políticas do IAM para conceder permissões do AWS KMS, as identidades do IAM que têm acesso de administrador da AWS ("Action": "*") ou acesso total do AWS KMS ("Action":
"kms:*") já têm permissão para agendar e cancelar a exclusão de chaves do KMS. Para permitir que os administradores de chaves programem e cancelem a exclusão de chaves na política de chaves, use o console do AWS KMS ou a API do AWS KMS.
Normalmente, apenas os administradores de chaves têm permissão para programar ou cancelar a exclusão da chave. Porém, você pode conceder essas permissões a outras identidades do IAM adicionando a permissãokms:ScheduleKeyDeletion e kms:CancelKeyDeletion à política de chaves ou a uma política do IAM. É possível usar a chave de condição kms:ScheduleKeyDeletionPendingWindowInDays para limitar os valores que as entidades principais podem especificar no parâmetro PendingWindowInDays de uma solicitação de ScheduleKeyDeletion.
Permitir que administradores de chaves agendem e cancelem a exclusão de chaves
Para conceder aos administradores de chaves permissão para agendar e cancelar a exclusão de chaves.
-
Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
-
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
-
Escolha o alias ou o ID de chave da chave do KMS cujas permissões você quer alterar.
-
Selecione a guia Key policy (Política de chaves).
-
A próxima etapa difere a visualização padrão da visualização de política de sua política de chaves. A visualização padrão estará disponível somente se você estiver usando a política de chaves padrão do console. Senão, apenas a visualização da política estará disponível.
Quando a visualização padrão está disponível, o botão Switch to policy view (Alternar para visualização de política) ou Switch to default view (Alternar para visualização padrão) é exibido na guia Key policy (Política de chaves).
-
Na visualização padrão:
-
Em Key deletion (Exclusão de chaves), escolha Allow key administrators to delete this key (Permitir que administradores de chaves excluam esta chave).
-
-
Na visualização de política:
-
Escolha Editar.
-
Na declaração de política para administradores de chave, adicione as permissões
kms:ScheduleKeyDeletionekms:CancelKeyDeletionao elementoAction.{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } -
Escolha Salvar alterações.
-
-
Você pode usar o AWS Command Line Interface para adicionar permissões para programar e cancelar a exclusão de chaves.
Para adicionar permissão para programar e cancelar a exclusão de chaves
-
Use o comando
aws kms get-key-policypara recuperar a política de chaves existente e, em seguida, salve o documento de política em um arquivo. -
Abra o documento de política no editor de texto de sua preferência. Na declaração de política para administradores de chave, adicione as permissões
kms:ScheduleKeyDeletionekms:CancelKeyDeletion. O exemplo a seguir mostra uma declaração de política com essas duas permissões:{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } -
Use o comando
aws kms put-key-policypara aplicar a política de chaves à chave do KMS.
