Alterar uma política de chave

É possível alterar a política de chaves de uma chave do KMS na Conta da AWS usando o Console de gerenciamento da AWS ou a operação PutKeyPolicy. Não é possível usar essas técnicas para alterar a política de chaves de uma chave do KMS em outra Conta da AWS.

Ao alterar a política de chaves, lembre-se das seguintes regras:

É possível visualizar a política de chaves de uma Chave gerenciada pela AWS ou de uma chave gerenciada pelo cliente, mas só é possível alterar a política de chaves de uma chave gerenciada pelo cliente. As políticas de Chaves gerenciadas pela AWS são criadas e gerenciadas pelo serviço da AWS que criou a chave do KMS na sua conta. Não é possível visualizar ou alterar a política de chaves para uma Chave pertencente à AWS.
Você pode adicionar ou remover usuários do IAM, funções do IAM e Contas da AWS na política de chaves e alterar as ações permitidas ou negadas para essas entidades principais. Para mais informações sobre as maneiras de especificar principais e permissões em uma política de chaves, consulte Políticas de chaves.
Não é possível adicionar grupos do IAM a uma política de chaves, mas é possível adicionar diversos usuários do IAM e perfis do IAM. Para obter mais informações, consulte Permitir que diversas entidades principais do IAM acessem uma chave do KMS.
Se você adicionar Contas da AWS externas a uma política de chaves, será necessário também usar políticas do IAM nessas contas externas para conceder permissões a usuários, grupos ou funções do IAM nessas contas. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.
O documento de política de chaves resultante não pode exceder 32 KB (32.768 bytes).

Como alterar uma política de chaves

Você pode alterar uma política de chaves de três maneiras diferentes, conforme explicado nas seções a seguir.

Tópicos

Usar a visualização padrão do Console de gerenciamento da AWS
Usar a visualização de política do Console de gerenciamento da AWS
Uso da API AWS KMS

Usar a visualização padrão do Console de gerenciamento da AWS

Você pode usar o console para alterar uma política de chaves com uma interface gráfica chamada visualização padrão.

Se as seguintes etapas não correspondem à visualização no console, isso significa que essa política de chaves não foi criada pelo console. Ou significa que a política de chaves foi modificada e é incompatível com a visualização padrão do console. Nesse caso, siga as etapas em Usar a visualização de política do Console de gerenciamento da AWS ou Uso da API AWS KMS.

Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Usar o console de AWS KMS. (Você não pode alterar a política de chave de Chaves gerenciadas pela AWS.)
Defina o que alterar.
- Para adicionar ou remover administradores de chaves e permitir ou impedir que eles excluam a chave do KMS, use os controles na seção Key administrators (Administradores de chaves) da página. Os administradores de chaves gerenciam a chave do KMS, incluindo sua habilitação e desabilitação, a configuração da política de chaves e a habilitação da alternância de chaves.
- Para adicionar ou remover usuários de chaves e permitir ou proibir que Contas da AWS externas usem a chave do KMS, use os controles na seção Key users (Usuários de chaves) da página. Usuários de chaves podem usar a chave do KMS em operações de criptografia, como criptografar, descriptografar, recriptografar e gerar chaves de dados.

Usar a visualização de política do Console de gerenciamento da AWS

Você pode usar o console para alterar um documento de política de chaves com a visualização de política do console.

Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Usar o console de AWS KMS. (Você não pode alterar a política de chave de Chaves gerenciadas pela AWS.)
Na seção Política de chave, selecione Alternar para visualização de política.
Escolha Editar.
Defina o que alterar.
- Para adicionar uma nova instrução, escolha Adicionar nova instrução. Então, você pode selecionar as ações, as entidades princípios e as condições para a nova instrução de política de chave entre as opções listadas no painel do construtor de instruções ou inserir manualmente os elementos de instrução da política.
- Para remover uma instrução da política de chave, selecione a instrução e escolha Remover. Revise a instrução de política selecionada e confirme se deseja removê-la. Se você decidir que não deseja continuar com a remoção da instrução, escolha Cancelar.
- Para editar uma instrução de política de chave existente, selecione a instrução. Em seguida, você pode usar o painel do construtor de instruções para escolher os elementos específicos que deseja modificar, ou pode editar manualmente a instrução.
Escolha Salvar alterações.

Uso da API AWS KMS

É possível usar a operação PutKeyPolicy para alterar a política de chaves de uma chave do KMS na sua Conta da AWS. Não é possível usar essa API em uma chave do KMS em outra Conta da AWS.

Use a operação GetKeyPolicy para obter o documento da política de chaves existente e salve o documento da política de chaves em um arquivo. Para obter o código de exemplo em várias linguagens de programação, consulte Usar GetKeyPolicy com o AWS SDK ou a CLI.
Abra o documento de política de chaves no editor de texto de sua preferência, edite-o e salve o arquivo.
Use a operação PutKeyPolicy para aplicar o documento da política de chaves atualizado à chave do KMS. Para obter o código de exemplo em várias linguagens de programação, consulte Usar PutKeyPolicy com o AWS SDK ou a CLI.

Para obter um exemplo de como copiar uma política de chaves de uma chave do KMS para outra, consulte o exemplo de GetKeyPolicy na Referência de comandos da AWS CLI.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visualizar uma política de chave

Permissões para serviços da AWS