Examinar políticas do IAM - AWS Key Management Service
Examinar políticas do IAM com o Simulador de políticas do IAMExaminar políticas do IAM com a API do IAM

Examinar políticas do IAM

Além da política de chaves e concessões, também é possível usar as políticas do IAM para permitir o acesso a uma chave do KMS. Para obter mais informações sobre como as políticas do IAM e as políticas de chaves funcionam juntas, consulte Solução de problemas de permissões do AWS KMS.

Para determinar quais entidades principais têm acesso no momento a uma chave do KMS por meio de políticas do IAM, você pode usar a ferramenta baseada em navegador Simulador de políticas do IAM, ou pode fazer solicitações para a API do IAM.

Examinar políticas do IAM com o Simulador de políticas do IAM

O Simulador de políticas do IAM pode ajudar a saber quais entidades principais têm acesso a uma chave do KMS por meio de uma política do IAM.

Para usar o simulador de políticas do IAM para determinar o acesso a uma chave do KMS

  1. Faça login no Console de gerenciamento da AWS e abra o Simulador de políticas do IAM em https://policysim.aws.amazon.com/.

  2. No painel Users, Groups, and Roles (Usuários, grupos e funções), escolha o usuário, o grupo ou a função cujas políticas você deseja simular.

  3. (Opcional) Desmarque a caixa de seleção ao lado de qualquer política que você deseja omitir da simulação. Para simular todas as políticas, deixe todas as políticas selecionadas.

  4. No painel Policy Simulator (Simulador de políticas), faça o seguinte:

    1. Para Select service (Selecionar serviço), selecione Key Management Service.

    2. Para simular ações específicas do AWS KMS para Select actions (Selecionar ações), escolha as ações a serem simuladas. Para simular todas as ações do AWS KMS, selecione Selecionar tudo (Select All).

  5. (Opcional) O Simulador de políticas simula o acesso a todas as chaves do KMS por padrão. Para simular o acesso a uma determinada chave do KMS, escolha Simulation Settings (Configurações de simulação) e digite o nome do recurso da Amazon (ARN) da chave do KMS a ser simulada.

  6. Selecione Run Simulation (Executar simulação).

Você pode visualizar os resultados da simulação na seção Results (Resultados). Repita as etapas 2 a 6 para cada usuário, grupo e perfil na Conta da AWS.

Examinar políticas do IAM com a API do IAM

Você pode usar a API do IAM para examinar políticas do IAM programaticamente. As etapas a seguir fornecem uma visão geral de como fazer isso:

  1. Para cada Conta da AWS listada como entidade principal na política de chave (ou seja, cada entidade principal da conta da AWS especificada neste formato: "Principal": {"AWS": "arn:aws:iam::111122223333:root"}), use as operações ListUsers e ListRoles na API do IAM para obter todos os usuários e perfis na conta.

  2. Para cada usuário e perfil na lista, use a operação SimulatePrincipalPolicy na API do IAM, passando nos parâmetros a seguir:

    • Para PolicySourceArn, especifique o Amazon Resource Name (ARN) de um usuário ou função da sua lista. É possível especificar somente um PolicySourceArn para cada solicitação SimulatePrincipalPolicy, portanto, você deve chamar essa operação diversas vezes, uma vez para cada perfil e usuário em sua lista.

    • Para ver a lista ActionNames, especifique cada ação de API do AWS KMS a ser simulada. Para simular todas as ações de API do AWS KMS, use kms:*. Para testar ações de API individuais do AWS KMS, preceda cada ação de API com "kms:", por exemplo, "kms:ListKeys". Para obter uma lista completa das ações de API do AWS KMS, consulte Actions (Ações) na Referência de API do AWS Key Management Service.

    • (Opcional) Para determinar se os usuários ou perfis têm acesso a chaves do KMS específicas, use o parâmetro ResourceArns para especificar uma lista de nomes dos recursos da Amazon (ARNs) das chaves do KMS. Para determinar se os usuários ou perfis têm acesso a qualquer chave do KMS, omita o parâmetro ResourceArns.

O IAM responde a cada solicitação SimulatePrincipalPolicy com uma decisão de avaliação: allowed, explicitDeny ou implicitDeny. Para cada resposta que contém uma decisão de avaliação allowed, a resposta inclui o nome da operação de API do AWS KMS específico permitido. Ela também inclui o ARN da chave do KMS que foi usada na avaliação, se houver.