Política gerenciada pela AWS: AWSKeyManagementServicePowerUser Política gerenciada pela AWS: AWSServiceRoleForKeyManagementServiceCustomKeyStores Política gerenciada pela AWS: AWSServiceRoleForKeyManagementServiceMultiRegionKeys Atualizações do AWS KMS para políticas gerenciadas pela AWS

AWS Políticas gerenciadas pela do AWS Key Management Service

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte AWSPolíticas gerenciadas pela no Guia do usuário do IAM.

Política gerenciada pela AWS: AWSKeyManagementServicePowerUser

É possível anexar a política AWSKeyManagementServicePowerUser às suas identidades do IAM.

É possível usar a política gerenciada pela AWSKeyManagementServicePowerUser para conceder às entidades principais do IAM em sua conta as permissões de um usuário avançado. Usuários avançados podem criar chaves do KMS, usar e gerenciar as chaves do KMS que eles criam e visualizar todas as chaves do KMS e identidades do IAM. Entidades principais que têm a política gerenciada AWSKeyManagementServicePowerUser também podem obter permissões de outras origens, incluindo políticas de chave, outras políticas do IAM e concessões.

AWSKeyManagementServicePowerUser é uma política do IAM gerenciada pela AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

nota

Permissões nesta política específicas para uma chave do KMS, como kms:TagResource e kms:GetKeyRotationStatus, só entram em vigor quando a política de chaves para essa chave do KMS permite explicitamente que a Conta da AWS use as políticas do IAM para controlar o acesso à chave. Para determinar se uma permissão é específica para uma chave do KMS, consulte AWS KMSPermissões e procure um valor de KMS key (Chave do KMS) na coluna Resources (Recursos).

Essa política concede a um usuário avançado permissões sobre qualquer chave do KMS com uma política de chave que permita a operação. Para permissões entre contas, como kms:DescribeKey e kms:ListGrants, isso pode incluir chaves do KMS em Contas da AWS não confiáveis. Para obter mais detalhes, consulte Práticas recomendadas para políticas do IAM e Permitir que usuários de outras contas usem uma chave do KMS. Para determinar se uma permissão é válida em chaves do KMS em outras contas, consulte AWS KMSPermissões e procure por um valor Yes (Sim) na coluna Cross-account use (Uso entre contas).

Para permitir que as entidades principais exibam o console do AWS KMS sem erros, a entidade precisa da permissão tag:GetResources, que não está incluída na política AWSKeyManagementServicePowerUser. Você pode permitir essa permissão em uma política do IAM separada.

A política do IAM gerenciada AWSKeyManagementServicePowerUser inclui as permissões a seguir.

Permite que as entidades principais criem chaves do KMS. Como esse processo inclui a definição da política de chaves, os usuários avançados podem conceder a si mesmos e a outros permissão para usar e gerenciar as chaves do KMS criadas por eles.
Permite que as entidades principais criem e excluam aliases e tags em todas as chaves do KMS. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão para usar e gerenciar a chave do KMS. Para obter detalhes, consulte ABAC para AWS KMS.
Permite que as entidades principais obtenham informações detalhadas sobre todas as chaves do KMS, incluindo seu ARN de chave, configuração criptográfica, política de chaves, aliases, tags e status de alternância.
Permite que as entidades principais listem usuários, grupos e funções do IAM.
Essa política não permite que as entidades principais usem nem gerenciem chaves do KMS não criadas por eles. No entanto, eles podem alterar aliases e tags em todas as chaves do KMS, o que pode permitir ou negar permissão para usar ou gerenciar uma chave do KMS.

Para visualizar as permissões para essa política, consulte AWSKeyManagementServicePowerUser na AWS Managed Policy Reference.

Política gerenciada pela AWS: AWSServiceRoleForKeyManagementServiceCustomKeyStores

Não é possível anexar a AWSServiceRoleForKeyManagementServiceCustomKeyStores às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que concede permissão ao AWS KMS para ver os clusters do AWS CloudHSM associados ao repositório de chaves do AWS CloudHSM e criar a rede para permitir uma conexão entre o repositório de chaves personalizado e o cluster do AWS CloudHSM. Para obter mais informações, consulte Autorizar o AWS KMS a gerenciar recursos do AWS CloudHSM e do Amazon EC2.

Política gerenciada pela AWS: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

Não é possível anexar a AWSServiceRoleForKeyManagementServiceMultiRegionKeys às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que concede ao AWS KMS permissão para sincronizar todas as alterações no material de chave de uma chave primária multirregional com suas chaves-réplicas. Para obter mais informações, consulte Autorizar o AWS KMS a sincronizar chaves de várias regiões.

Atualizações do AWS KMS para políticas gerenciadas pela AWS

Visualizar detalhes sobre atualizações em políticas gerenciadas pela AWS para o AWS KMS desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico do documento do AWS KMS.

Alteração	Descrição	Data
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy: atualização de política existente	O AWS KMS adicionou um campo ID da instrução (`Sid`) à política gerenciada na versão v2 da política.	21 de novembro de 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy: atualização da política existente	O AWS KMS adicionou as permissões `ec2:DescribeVpcs`, `ec2:DescribeNetworkAcls` e `ec2:DescribeNetworkInterfaces` para monitorar as alterações na VPC que contém seu cluster do AWS CloudHSM para que o AWS KMS possa fornecer mensagens de erro claras em caso de falhas.	10 de novembro de 2023
AWS KMSO iniciou o rastreamento das alterações	O AWS KMS começou a monitorar as alterações para as políticas gerenciadas pela AWS.	10 de novembro de 2023

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de Identidade e Acesso

Perfis vinculados a serviço