

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Examinar políticas do IAM
<a name="determining-access-iam-policies"></a>

Além da política de chaves e concessões, também é possível usar as [políticas do IAM](iam-policies.md) para permitir o acesso a uma chave do KMS. Para obter mais informações sobre como as políticas do IAM e as políticas de chaves funcionam juntas, consulte [Solução de problemas de AWS KMS permissões](policy-evaluation.md).

Para determinar quais entidades principais têm acesso no momento a uma chave do KMS por meio de políticas do IAM, você pode usar a ferramenta baseada em navegador [Simulador de políticas do IAM](https://policysim.aws.amazon.com/), ou pode fazer solicitações para a API do IAM.

**Contents**
+ [Examinar políticas do IAM com o Simulador de políticas do IAM](#determining-access-iam-policy-simulator)
+ [Examinar políticas do IAM com a API do IAM](#determining-access-iam-api)

## Examinar políticas do IAM com o Simulador de políticas do IAM
<a name="determining-access-iam-policy-simulator"></a>

O Simulador de políticas do IAM pode ajudar a saber quais entidades principais têm acesso a uma chave do KMS por meio de uma política do IAM.

**Para usar o simulador de políticas do IAM para determinar o acesso a uma chave do KMS**

1. Faça login no Console de gerenciamento da AWS e abra o IAM Policy Simulator em[https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. No painel **Users, Groups, and Roles (Usuários, grupos e funções)**, escolha o usuário, o grupo ou a função cujas políticas você deseja simular.

1. (Opcional) Desmarque a caixa de seleção ao lado de qualquer política que você deseja omitir da simulação. Para simular todas as políticas, deixe todas as políticas selecionadas.

1. No painel **Policy Simulator (Simulador de políticas)**, faça o seguinte:

   1. Para **Select service (Selecionar serviço)**, selecione **Key Management Service**.

   1. Para simular AWS KMS ações específicas, em **Selecionar ações**, escolha as ações a serem simuladas. Para simular todas as AWS KMS ações, escolha **Selecionar tudo**.

1. (Opcional) O Simulador de políticas simula o acesso a todas as chaves do KMS por padrão. Para simular o acesso a uma determinada chave do KMS, escolha **Simulation Settings** (Configurações de simulação) e digite o nome do recurso da Amazon (ARN) da chave do KMS a ser simulada.

1. Selecione **Run Simulation (Executar simulação)**.

Você pode visualizar os resultados da simulação na seção **Results (Resultados)**. Repita as etapas 2 a 6 para cada usuário, grupo e perfil na Conta da AWS.

## Examinar políticas do IAM com a API do IAM
<a name="determining-access-iam-api"></a>

Você pode usar a API do IAM para examinar políticas do IAM programaticamente. As etapas a seguir fornecem uma visão geral de como fazer isso:

1. Para cada um Conta da AWS listado como principal na política de chaves (ou seja, cada [principal de AWS conta](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) especificado neste formato:`"Principal": {"AWS": "arn:aws:iam::111122223333:root"}`), use as [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)operações [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)e na API do IAM para obter todos os usuários e funções na conta.

1. Para cada usuário e função na lista, use a [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)operação na API IAM, transmitindo os seguintes parâmetros:
   + Para `PolicySourceArn`, especifique o Amazon Resource Name (ARN) de um usuário ou função da sua lista. É possível especificar somente um `PolicySourceArn` para cada solicitação `SimulatePrincipalPolicy`, portanto, você deve chamar essa operação diversas vezes, uma vez para cada perfil e usuário em sua lista.
   + Para a `ActionNames` lista, especifique cada ação AWS KMS da API a ser simulada. Para simular todas as ações AWS KMS da API, use`kms:*`. Para testar ações de AWS KMS API individuais, preceda cada ação de API com "`kms:`“, por exemplo,"`kms:ListKeys`”. Para obter uma lista completa das ações de API do AWS KMS , consulte [Actions](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) (Ações) na *Referência de API do AWS Key Management Service *.
   + (Opcional) Para determinar se os usuários ou funções têm acesso a chaves KMS específicas, use o `ResourceArns` parâmetro para especificar uma lista dos nomes de recursos da Amazon (ARNs) das chaves do KMS. Para determinar se os usuários ou perfis têm acesso a qualquer chave do KMS, omita o parâmetro `ResourceArns`.

O IAM responde a cada solicitação `SimulatePrincipalPolicy` com uma decisão de avaliação: `allowed`, `explicitDeny` ou `implicitDeny`. Para cada resposta que contém uma decisão de avaliação de`allowed`, a resposta inclui o nome da operação de AWS KMS API específica que é permitida. Ela também inclui o ARN da chave do KMS que foi usada na avaliação, se houver.