Alterar uma política de chave - AWS Key Management Service
Como alterar uma política de chaves

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterar uma política de chave

Você pode alterar a política de chaves de uma chave KMS na sua Conta da AWS usando a Console de gerenciamento da AWS ou a PutKeyPolicyoperação. Não é possível usar essas técnicas para alterar a política de chaves de uma chave do KMS em outra Conta da AWS.

Ao alterar a política de chaves, lembre-se das seguintes regras:

  • É possível visualizar a política de chaves de uma Chave gerenciada pela AWS ou de uma chave gerenciada pelo cliente, mas só é possível alterar a política de chaves de uma chave gerenciada pelo cliente. As políticas de Chaves gerenciadas pela AWS são criadas e gerenciadas pelo AWS serviço que criou a chave KMS em sua conta. Não é possível visualizar ou alterar a política de chaves para uma Chave pertencente à AWS.

  • Você pode adicionar ou remover usuários do IAM, funções do IAM e Contas da AWS na política de chaves e alterar as ações que são permitidas ou negadas para esses diretores. Para mais informações sobre as maneiras de especificar principais e permissões em uma política de chaves, consulte Políticas de chaves.

  • Não é possível adicionar grupos do IAM a uma política de chaves, mas é possível adicionar diversos usuários do IAM e perfis do IAM. Para obter mais informações, consulte Permitir que diversas entidades principais do IAM acessem uma chave do KMS.

  • Se você adicionar externo Contas da AWS a uma política de chaves, também deverá usar políticas do IAM nas contas externas para dar permissões aos usuários, grupos ou funções do IAM nessas contas. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.

  • O documento de política de chaves resultante não pode exceder 32 KB (32.768 bytes).

Como alterar uma política de chaves

Você pode alterar uma política de chaves de três maneiras diferentes, conforme explicado nas seções a seguir.

Usar a visualização padrão do Console de gerenciamento da AWS

Você pode usar o console para alterar uma política de chaves com uma interface gráfica chamada visualização padrão.

Se as seguintes etapas não correspondem à visualização no console, isso significa que essa política de chaves não foi criada pelo console. Ou significa que a política de chaves foi modificada e é incompatível com a visualização padrão do console. Nesse caso, siga as etapas em Usando a visualização Console de gerenciamento da AWS da política ou Usando a AWS KMS API.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Usando o AWS KMS console. (Você não pode alterar as principais políticas do Chaves gerenciadas pela AWS.)

  2. Defina o que alterar.

    • Para adicionar ou remover administradores de chaves e permitir ou impedir que eles excluam a chave do KMS, use os controles na seção Key administrators (Administradores de chaves) da página. Os administradores de chaves gerenciam a chave do KMS, incluindo sua habilitação e desabilitação, a configuração da política de chaves e a habilitação da alternância de chaves.

    • Para adicionar ou remover usuários principais e permitir ou Contas da AWS proibir o uso externo da chave KMS, use os controles na seção Usuários principais da página. Usuários de chaves podem usar a chave do KMS em operações de criptografia, como criptografar, descriptografar, recriptografar e gerar chaves de dados.

Usando a visualização Console de gerenciamento da AWS da política

Você pode usar o console para alterar um documento de política de chaves com a visualização de política do console.

  1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em Usando o AWS KMS console. (Você não pode alterar as principais políticas do Chaves gerenciadas pela AWS.)

  2. Na seção Política de chave, selecione Alternar para visualização de política.

  3. Escolha Editar.

  4. Defina o que alterar.

    • Para adicionar uma nova instrução, escolha Adicionar nova instrução. Então, você pode selecionar as ações, as entidades princípios e as condições para a nova instrução de política de chave entre as opções listadas no painel do construtor de instruções ou inserir manualmente os elementos de instrução da política.

    • Para remover uma instrução da política de chave, selecione a instrução e escolha Remover. Revise a instrução de política selecionada e confirme se deseja removê-la. Se você decidir que não deseja continuar com a remoção da instrução, escolha Cancelar.

    • Para editar uma instrução de política de chave existente, selecione a instrução. Em seguida, você pode usar o painel do construtor de instruções para escolher os elementos específicos que deseja modificar, ou pode editar manualmente a instrução.

  5. Escolha Salvar alterações.

Usando a AWS KMS API

Você pode usar a PutKeyPolicyoperação para alterar a política de chaves de uma chave KMS no seu Conta da AWS. Não é possível usar essa API em uma chave do KMS em outra Conta da AWS.

  1. Use a GetKeyPolicyoperação para obter o documento de política de chaves existente e, em seguida, salve o documento de política de chaves em um arquivo. Para obter o código de exemplo em várias linguagens de programação, consulte Use GetKeyPolicy com um AWS SDK ou CLI.

  2. Abra o documento de política de chaves no editor de texto de sua preferência, edite-o e salve o arquivo.

  3. Use a PutKeyPolicyoperação para aplicar o documento de política de chaves atualizado à chave KMS. Para obter o código de exemplo em várias linguagens de programação, consulte Use PutKeyPolicy com um AWS SDK ou CLI.

Para ver um exemplo de cópia de uma política de chaves de uma chave KMS para outra, consulte o GetKeyPolicy exemplo na Referência de AWS CLI Comandos.