As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Alterar uma política de chave
Você pode alterar a política de chaves de uma chave KMS na sua Conta da AWS usando a Console de gerenciamento da AWS ou a [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operação. Não é possível usar essas técnicas para alterar a política de chaves de uma chave do KMS em outra Conta da AWS.
Ao alterar a política de chaves, lembre-se das seguintes regras:
+ É possível visualizar a política de chaves de uma [Chave gerenciada pela AWS](concepts.md#aws-managed-key) ou de uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key), mas só é possível alterar a política de chaves de uma chave gerenciada pelo cliente. As políticas de Chaves gerenciadas pela AWS são criadas e gerenciadas pelo AWS serviço que criou a chave KMS em sua conta. Não é possível visualizar ou alterar a política de chaves para uma [Chave pertencente à AWS](concepts.md#aws-owned-key).
+ Você pode adicionar ou remover usuários do IAM, funções do IAM e Contas da AWS na política de chaves e alterar as ações que são permitidas ou negadas para esses diretores. Para mais informações sobre as maneiras de especificar principais e permissões em uma política de chaves, consulte [Políticas de chaves](key-policies.md).
+ Não é possível adicionar grupos do IAM a uma política de chaves, mas é possível adicionar diversos usuários do IAM e perfis do IAM. Para obter mais informações, consulte [Permitir que diversas entidades principais do IAM acessem uma chave do KMS](iam-policies.md#key-policy-modifying-multiple-iam-users).
+ Se você adicionar externo Contas da AWS a uma política de chaves, também deverá usar políticas do IAM nas contas externas para dar permissões aos usuários, grupos ou funções do IAM nessas contas. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).
+ O documento de política de chaves resultante não pode exceder 32 KB (32.768 bytes).
## Como alterar uma política de chaves
Você pode alterar uma política de chaves de três maneiras diferentes, conforme explicado nas seções a seguir.
**Topics**
+ [Usando a visualização Console de gerenciamento da AWS padrão](#key-policy-modifying-how-to-console-default-view)
+ [Usando a visualização Console de gerenciamento da AWS da política](#key-policy-modifying-how-to-console-policy-view)
+ [Usando a AWS KMS API](#key-policy-modifying-how-to-api)
### Usando a visualização Console de gerenciamento da AWS padrão
Você pode usar o console para alterar uma política de chaves com uma interface gráfica chamada *visualização padrão*.
Se as seguintes etapas não correspondem à visualização no console, isso significa que essa política de chaves não foi criada pelo console. Ou significa que a política de chaves foi modificada e é incompatível com a visualização padrão do console. Nesse caso, siga as etapas em [Usando a visualização Console de gerenciamento da AWS da política](#key-policy-modifying-how-to-console-policy-view) ou [Usando a AWS KMS API](#key-policy-modifying-how-to-api).
1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em [Usando o AWS KMS console](key-policy-viewing.md#key-policy-viewing-console). (Você não pode alterar as principais políticas do Chaves gerenciadas pela AWS.)
1. Defina o que alterar.
+ Para adicionar ou remover [administradores de chaves](key-policy-default.md#key-policy-default-allow-administrators) e permitir ou impedir que eles [excluam a chave do KMS](deleting-keys.md), use os controles na seção **Key administrators** (Administradores de chaves) da página. Os administradores de chaves gerenciam a chave do KMS, incluindo sua habilitação e desabilitação, a configuração da política de chaves e a [habilitação da alternância de chaves](rotate-keys.md).
+ Para adicionar ou remover [usuários principais](key-policy-default.md#key-policy-default-allow-users) e permitir ou Contas da AWS proibir o uso externo da chave KMS, use os controles na seção **Usuários principais** da página. Usuários de chaves podem usar a chave do KMS em [operações de criptografia](kms-cryptography.md#cryptographic-operations), como criptografar, descriptografar, recriptografar e gerar chaves de dados.
### Usando a visualização Console de gerenciamento da AWS da política
Você pode usar o console para alterar um documento de política de chaves com a *visualização de política* do console.
1. Visualize a política de chaves de uma chave gerenciada pelo cliente conforme descrito em [Usando o AWS KMS console](key-policy-viewing.md#key-policy-viewing-console). (Você não pode alterar as principais políticas do Chaves gerenciadas pela AWS.)
1. Na seção **Política de chave**, selecione **Alternar para visualização de política**.
1. Escolha **Editar**.
1. Defina o que alterar.
+ Para adicionar uma nova instrução, escolha **Adicionar nova instrução**. Então, você pode selecionar as ações, as entidades principais e as condições para a nova instrução de política de chave entre as opções listadas no painel do construtor de instruções ou inserir manualmente os elementos de instrução da política.
+ Para remover uma instrução da política de chave, selecione a instrução e escolha **Remover**. Leia a instrução de política selecionada e confirme se deseja removê-la. Se você decidir que não deseja continuar com a remoção da instrução, escolha **Cancelar**.
+ Para editar uma instrução de política de chave existente, selecione a instrução. Em seguida, use o painel do construtor de instruções para escolher os elementos específicos que deseja modificar, ou edite manualmente a instrução.
1. Escolha **Salvar alterações**.
### Usando a AWS KMS API
Você pode usar a [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operação para alterar a política de chaves de uma chave KMS no seu Conta da AWS. Não é possível usar essa API em uma chave do KMS em outra Conta da AWS.
1. Use a [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operação para obter o documento de política de chaves existente e, em seguida, salve o documento de política de chaves em um arquivo. Para obter o código de exemplo em várias linguagens de programação, consulte [Use `GetKeyPolicy` com um AWS SDK ou CLI](example_kms_GetKeyPolicy_section.md).
1. Abra o documento de política de chaves no editor de texto de sua preferência, edite-o e salve o arquivo.
1. Use a [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operação para aplicar o documento de política de chaves atualizado à chave KMS. Para obter o código de exemplo em várias linguagens de programação, consulte [Use `PutKeyPolicy` com um AWS SDK ou CLI](example_kms_PutKeyPolicy_section.md).
Para ver um exemplo de cópia de uma política de chaves de uma chave KMS para outra, consulte o [GetKeyPolicy exemplo](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html#examples) na Referência de AWS CLI Comandos.