As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografando recursos nas permissões verificadas da Amazon
O Amazon Verified Permissions fornece criptografia por padrão para proteger dados confidenciais de clientes em repouso usando chaves de criptografia AWS próprias. Como uma camada extra de proteção, o Amazon Verified Permissions permite que você criptografe seus repositórios de políticas usando AWS Key Management Service (AWS KMS) chave gerenciada pelo cliente s (CMK). Essa funcionalidade garante a proteção de dados confidenciais por meio de criptografia em repouso, o que ajuda você a:
-
Reduza a carga operacional do lado do seu aplicativo para proteger dados confidenciais
-
Mantenha o controle sobre quem pode ver os detalhes de suas políticas de autorização por meio de seus próprios AWS KMS chave gerenciada pelo cliente
-
Criar aplicações com exigências de segurança que atendam a rigorosos requisitos regulatórios e de conformidade de criptografia.
As seções a seguir explicam como configurar a criptografia para novos repositórios de políticas e como gerenciar suas chaves de criptografia.
AWS KMS Tipos de chaves para permissões verificadas pela Amazon
O Amazon Verified Permissions se integra AWS KMS ao gerenciamento de chaves de criptografia usadas para dados de encrypting/decrypting clientes. Para saber mais sobre tipos e estados de chave, consulte AWS Key Management Service concepts no Guia do desenvolvedor do AWS KMS . Ao criar um novo repositório de políticas, você pode escolher entre os seguintes tipos de AWS KMS chave para criptografar seus dados:
AWS Chave própria
O tipo de criptografia padrão. O Amazon Verified Permissions possui a chave sem custo adicional para você e criptografa os dados do recurso em repouso no momento da criação. Nenhuma configuração adicional é necessária em seu código ou aplicativos para encrypt/decrypt seus dados usando a chave de propriedade das Permissões Verificadas.
Chave gerenciada pelo cliente
Você cria, possui e gerencia a chave na sua AWS conta. Você tem controle total sobre a AWS KMS chave. AWS KMS cobranças se aplicam chave gerenciada pelo cliente a s. Para obter mais informações, consulte a página de Definição de preço do AWS KMS
Quando você especifica uma criptografia chave gerenciada pelo cliente para recursos de nível superior (ou seja, repositório de políticas), as Permissões Verificadas criptografam o recurso, bem como seus recursos secundários, com essa chave. Para criptografar um repositório de políticas usando um chave gerenciada pelo cliente, você precisa conceder acesso às Permissões Verificadas em sua política de chaves. Uma política chave é uma política baseada em recursos que você anexa à sua chave gerenciada pelo cliente para controlar o acesso a ela. Consulte Autorizando o uso de sua AWS KMS chave para permissões verificadas pela Amazon para obter mais detalhes.
Além disso, para criar um repositório de políticas criptografado com um chave gerenciada pelo cliente, ou para fazer chamadas de API para um armazenamento de políticas criptografado por um chave gerenciada pelo cliente, o usuário ou função do IAM que faz a chamada também deve ter acesso à chave. Se as Permissões Verificadas não conseguirem acessar a chave, qualquer decisão de autorização que envolva recursos criptografados por essa chave pode estar obsoleta ou imprecisa. Quando você não tiver acesso à chave, não poderá usar read/update/delete recursos criptografados por essa chave, e qualquer chamada de criação para utilizar a chave para criptografia falhará.
nota
A criptografia de permissões verificadas em repouso está disponível em todas as AWS regiões em que as permissões verificadas estão disponíveis.
Importante
Depois de usar a para criptografar um repositório de políticas, você NÃO PODE atualizar o recurso para usar uma chave diferente para criptografia ou remover a chave desse armazenamento de políticas. chave gerenciada pelo cliente
Uso AWS KMS e chaves de dados com Amazon Verified Permissions
O recurso de criptografia em repouso do Amazon Verified Permissions usa uma AWS KMS chave e uma hierarquia de chaves de dados para proteger seus dados de recursos.
nota
As permissões verificadas da Amazon oferecem suporte somente a AWS KMS chaves simétricas. Você não pode usar uma AWS KMS chave assimétrica para criptografar seus recursos de Permissões Verificadas da Amazon.
Usando chaves AWS próprias
O Amazon Verified Permissions criptografa todos os recursos por padrão com chaves AWS próprias. Essas chaves são de uso gratuito e são alternadas anualmente para proteger os recursos da sua conta. Você não precisa visualizar, gerenciar, usar ou auditar essas chaves; portanto, nenhuma ação é necessária proteger os dados. Para obter mais informações sobre chaves AWS próprias, consulte chaves AWS próprias no Guia do AWS KMS desenvolvedor.
Usando chaves gerenciadas pelo cliente
Selecionar um chave gerenciada pelo cliente para criptografia oferece os seguintes benefícios:
-
Você cria e gerencia a AWS KMS chave, incluindo a definição das principais políticas e IAM políticas para controlar o acesso à AWS KMS chave. Você pode ativar e desativar a AWS KMS chave, ativar e desativar a rotação automática da chave e excluir a AWS KMS chave quando ela não estiver mais em uso.
-
Você pode usar um chave gerenciada pelo cliente com material de chave importado ou um chave gerenciada pelo cliente em um armazenamento de chaves personalizado que você possui e gerencia.
-
Você pode auditar a criptografia e a descriptografia de seus recursos de Permissões Verificadas examinando as chamadas AWS KMS da API de Permissões Verificadas da Amazon para os registros. AWS CloudTrail
Para que as permissões verificadas da Amazon usem seus chave gerenciada pelo cliente s como encryption/decryption, you will need to add specific key policies to allow Amazon Verified Permissions to encrypt/decrypt recursos em seu nome.
Autorizando o uso de sua AWS KMS chave para permissões verificadas pela Amazon
No mínimo, as Permissões Verificadas da Amazon exigem as seguintes permissões em um chave gerenciada pelo cliente:
kms:Encryptkms:GenerateDataKeyWithoutPlaintextkms:DescribeKeykms:ReEncryptTokms:ReEncryptFromkms:Decrypt
Um exemplo de política chave pode ser visto abaixo:
{ "Sid": "Enable AVP to use the KMS key for encrypting project J.A.K. policy resources", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*" }
Compreendendo o contexto de origem
O contexto de origem fornece informações sobre a tentativa do chamador de origem de realizar AWS KMS ações em relação a uma determinada chave. Isso evita confusão ou uso indevido de dados criptografados ao vincular o contexto à fonte dos dados.
Os clientes podem utilizar o contexto de origem como condições adicionais em sua política principal, como as seguintes declarações de política principais:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } } ] }
Essa política de chaves permite que as Permissões Verificadas façam AWS KMS chamadas em seu nome, se a conta de origem for a mesma da conta em que essa AWS KMS chave reside. Esses valores devem ser verificáveis ao verificar os registros de AWS CloudTrail auditoria da chave CMK. Para obter mais informações sobre chaves de AWS condição globais, consulte Como usar aws:SourceArn nossas chaves de aws:SourceAccount condição.
Entendendo o contexto de criptografia
O contexto de criptografia é um conjunto de pares de valores-chave que contêm dados autenticados adicionais para verificações de integridade da criptografia. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.
As Permissões Verificadas da Amazon usam o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas e podem ser verificadas em AWS CloudTrail registros quando as Permissões Verificadas fazem AWS KMS chamadas em seu nome para encryption/decryption processos. Por padrão, as Permissões verificadas utilizam os seguintes pares de valores-chave do contexto de criptografia ao criptografar seus recursos:
{ "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }
As Permissões Verificadas da Amazon também permitem que você acrescente um contexto de criptografia personalizado como parte dos metadados adicionais que você deseja incluir durante os processos. encryption/decryption Isso significa que sua política de chaves pode ser mais refinada na concessão de permissões, como no exemplo abaixo:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
Essa política de chaves permite que as Permissões Verificadas façam AWS KMS chamadas em seu nome, se o mapa de contexto de criptografia contiver uma chave aws:verifiedpermissions:policy-store-arn cujo valor segue o formato de arn:aws:verifiedpermissions::111122223333:policy-store/* e também contém um par de valores-chave. "policy_owner": "Tim" Veja Criando um repositório de políticas criptografadas como definir um contexto de criptografia personalizado.
nota
É recomendável que as políticas de chave com condições baseadas no contexto de criptografia sejam para um subconjunto do mapa de contexto de criptografia, em vez de verificar cada par de valores-chave. O serviço e suas dependências upstream podem adicionar outros pares de valores-chave que não são visíveis para você e podem afetar o acesso às chaves das Permissões Verificadas se a política de chaves permitir condicionalmente, com base na aparência exata do mapa de contexto de criptografia.
Entendendo kms: ViaService
A chave de kms:ViaService condição limita o uso de uma AWS KMS chave às solicitações de AWS serviços especificados. Essa chave de condição só se aplica às sessões de acesso direto (FAS). Para obter mais informações sobrekms:ViaService, consulte kms: ViaService no Guia do AWS KMS desenvolvedor.
Por exemplo, a seguinte declaração de política chave usa a chave de kms:ViaService condição para permitir que chave gerenciada pelo clientea seja usada para as ações especificadas somente quando a solicitação vem da Amazon Verified Permissions na região Leste dos EUA (Norte da Virgínia) em nome deBrentRole.
{ "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] } } }
Isso é necessário para que as Permissões Verificadas possam transmitir sua identidade, permissões e atributos de sessão quando as Permissões Verificadas fizerem uma solicitação AWS KMS em seu nome para criptografia/descriptografia. Para obter mais informações sobre solicitações do FAS, consulte Sessões de acesso direto no Guia IAM do usuário.
Política AWS KMS chave completa
Com base nos conceitos das seções anteriores, este é um exemplo de política de chaves que permitirá que as Amazon Verified Permissions usem uma CMK para criptografia/descriptografia:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim", "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] }, "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
Atenção
Tenha cuidado ao modificar AWS KMS políticas de chaves para chaves que já estão em uso pela Amazon Verified Permissions. Embora o Verified Permissions valide as permissões de criptografia e descriptografia quando você configura inicialmente uma AWS KMS chave durante a criação de recursos de nível superior, ele não pode verificar alterações de política subsequentes sob demanda. A remoção inadvertida das permissões necessárias pode interromper suas decisões de autorização e os fluxos regulares do serviço de Permissões Verificadas. Para obter orientação sobre como solucionar erros comuns relacionados a chave gerenciada pelo cliente s nas Permissões Verificadas da Amazon, consulteSolucionar problemas de chaves gerenciadas pelo cliente nas permissões verificadas da Amazon.
IAM Políticas necessárias para recursos criptografados
Os clientes que chamarem as Permissões Verificadas por meio de uma IAM função em sua conta precisarão garantir que a IAM política correspondente tenha as permissões adequadas para utilizá-las chave gerenciada pelo cliente para criptografia e descriptografia de recursos.
Para criar repositórios de políticas criptografados por um chave gerenciada pelo cliente, a IAM política a seguir ilustra as ações mínimas necessárias AWS KMS e de permissões verificadas para fazer isso:
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:CreatePolicyStore", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
nota
Para recuperar (operações Get* e List*) e excluir repositórios de políticas criptografados por um chave gerenciada pelo cliente, nenhuma permissão adicional é necessária.
Para atualizar um repositório de políticas criptografado por a chave gerenciada pelo cliente, recuperar (operações Get* e List*), atualizar e excluir recursos secundários de um repositório de políticas criptografado por a chave gerenciada pelo cliente, a política a seguir IAM ilustra o mínimo necessário AWS KMS e as ações de Permissões Verificadas fazem isso:
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt" ], "Resource": "*", "Effect": "Allow" } ] }
Como uma IAM política única, os clientes podem simplesmente adicionar o seguinte à política de IAM funções:
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
Gerenciando repositórios de políticas criptografadas
Os repositórios de políticas são o contêiner básico que conterá todos os recursos de políticas relacionados. Para obter mais informações sobre repositórios de políticas e a hierarquia de recursos secundários, consulte Armazenamentos de políticas de permissões verificadas da Amazon no Guia do usuário de permissões verificadas da Amazon.
Ao criar um repositório de políticas em Permissões verificadas, você pode ativar a criptografia em repouso usando AWS KMS chaves. Isso garante que:
-
Todas as operações de leitura, atualização e exclusão nos repositórios de políticas e seus recursos secundários utilizarão o fornecido chave gerenciada pelo cliente para processos de descriptografia
-
Qualquer chamada de decisão de autorização (ou seja IsAuthorized BatchIsAuthorized, IsAuthorizedWithToken,, etc.) usará o fornecido chave gerenciada pelo cliente para processos de descriptografia
Criando um repositório de políticas criptografadas
Antes de criar um repositório de políticas criptografado, certifique-se de que o que chave gerenciada pelo cliente você está usando tenha as declarações de política de chave adequadas definidas para que as Permissões Verificadas da Amazon utilizem a chave para criptografia/descriptografia. Veja Autorizando o uso de sua AWS KMS chave para permissões verificadas pela Amazon quais permissões são necessárias.
Usando AWS CLI:
aws verifiedpermissions create-policy-store --region us-east-1 --encryption-settings file://encrypted.json --validation-settings "{\"mode\": \"OFF\"}"
Onde encrypted.json parece:
{ "kmsEncryptionSettings": { "key": "arn:aws:kms:us-east-1:111122223333:key/12345678-90ab-cdef-ghij-klmnopqrstuv", "encryptionContext": { "<ENCRYPTION_CONTEXT_KEY_1>": "<ENCRYPTION_CONTEXT_VALUE_1>", "<ENCRYPTION_CONTEXT_KEY_2>": "<ENCRYPTION_CONTEXT_VALUE_2>", ... } } }
Certifique-se de substituir por key seu chave gerenciada pelo cliente ARN e de substituir <ENCRYPTION_CONTEXT_KEY> e emparelhar com os <ENCRYPTION_CONTEXT_VALUE> pares de encryptionContext valores-chave desejados. encryptionContextpode ser omitido completamente se nenhuma adição de pares de valores-chave for desejada.
Importante
Não inclua o par de valores-chave aws:verifiedpermissions:policy-store-arn em seu contexto de criptografia personalizado. Isso é adicionado automaticamente e resultará em erros de validação se fizer parte dos pares de valores-chave do contexto de criptografia personalizado que você passou.
Para obter mais informações sobre a disponibilidade APIs de recursos secundários de um repositório de políticas, consulte Ações no Guia de referência da API Amazon Verified Permissions.
nota
Se os recursos AWS KMS chave gerenciada pelo cliente em uso por seus recursos de Permissões Verificadas da Amazon forem excluídos, desativados ou inacessíveis devido a uma política de AWS KMS chaves incorreta, a descriptografia dos recursos falhará, resultando em decisões de autorização obsoletas. A perda de acesso pode ser temporária (uma política de chave pode ser corrigida) ou permanente (uma chave excluída não pode ser restaurada), dependendo das circunstâncias. Recomendamos que você restrinja o acesso a operações críticas, como excluir ou desativar a AWS KMS chave. Além disso, recomendamos que sua organização configure procedimentos AWS de acesso rápidos para garantir que seus usuários privilegiados possam acessar AWS no caso improvável de as Permissões Verificadas da Amazon ficarem inacessíveis.
Monitorando a interação de permissões verificadas da Amazon com AWS KMS
Você pode monitorar o uso de suas chave gerenciada pelo cliente permissões verificadas pela Amazon. AWS CloudTrail Cada solicitação AWS KMS por meio de Permissões Verificadas inclui o contexto de criptografia e o ARN da chave que está sendo utilizado (seu chave gerenciada pelo cliente) nos parâmetros da solicitação:
Exemplo de entrada de AWS CloudTrail registro paraGenerateDataKeyWithoutPlaintext:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKeyWithoutPlaintext", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_editor": "Janus" }, ... }, ... }
Exemplo de entrada de AWS CloudTrail registro paraDecrypt:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:53:21Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_owner": "Elias" } }, ... }
Exemplo de entrada de AWS CloudTrail registro paraReEncrypt:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "ReEncrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "sourceKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "destinationEncryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT", "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "sourceEncryptionContext": { "aws:verifiedpermissions:policy_store_arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT", ... }, ... }
Observe que as entradas de registro incluem a invokedBy referência ao principal da Amazon Verified Permissions e encryptionContext/sourceEncryptionContext/destinationEncryptionContext a inclusão no mapa. requestParameters
Exemplo de entrada de AWS CloudTrail registro paraDescribeKey:
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx" }, ... }
Observe que a entrada de registro inclui a invokedBy referência à entidade principal da Amazon Verified Permissions.
Para obter mais informações sobre entradas de AWS CloudTrail registro, consulte Entendendo AWS CloudTrail eventos no Guia AWS CloudTrail do usuário.
Limitações
Este tópico descreve as limitações atuais das permissões verificadas e a utilização de chave gerenciada pelo cliente s para criptografia de recursos.
Você não pode desativar a criptografia para um repositório de políticas depois de ativada
Depois de criar um repositório de políticas sem criptografia, você não pode atualizar o repositório de políticas para ser criptografado por um chave gerenciada pelo cliente
Depois de revogar o acesso das Permissões Verificadas a um chave gerenciada pelo cliente repositório de políticas criptografado existente, existe a possibilidade de decisões de autorização obsoletas.
Depois de criar um repositório de políticas com um chave gerenciada pelo cliente, você não pode modificar valores de contexto de criptografia personalizados; eles são valores estáticos definidos durante a criação do repositório de políticas criptografado
Solucionar problemas de chaves gerenciadas pelo cliente nas permissões verificadas da Amazon
Este tópico descreve erros comuns chave gerenciada pelo cliente relacionados que você pode encontrar ao usar as Permissões Verificadas da Amazon e fornece etapas de solução de problemas para resolvê-los.
Acesso negado: problema de AWS KMS permissão
Erro: “O serviço ou o chamador não está autorizado a usar a AWS KMS chave fornecida porque o recurso não existe nesta região, nenhuma política baseada em recursos permite o acesso ou uma política baseada em recursos nega explicitamente o acesso”
Isso pode significar que o serviço ou o chamador não têm as permissões de kms:* ação necessárias em sua IAM política/política de AWS KMS chaves ou que a chave referenciada não existe ou não existe mais.
Solução de problemas com AWS CloudTrail:
Procure
kms.amazonaws.com.rproxy.govskope.caeventos em AWS CloudTrailPesquise o nome do evento da AWS KMS operação que foi identificada como não permitida (ou seja
DecryptReEncrypt,GenerateDataKeyWithoutPlaintext,,DescribeKey, etc.)Revise os campos
errorCodeeerrorMessageVerifique
userIdentitypara confirmar qual entidade principal tentou a operação
Para resolver esse problema, conceda ao usuário ou IAM diretor as permissões de acesso adequadas à AWS KMS operação em sua IAM política e política de AWS KMS chaves. Para obter mais informações, consulte Política AWS KMS chave completa.
Exceção de validação: configuração AWS KMS chave
Erro: “A AWS KMS chave configurada não tem uma configuração válida”
Isso significa que a chave referenciada não pode ser usada pelo serviço para chave gerenciada pelo cliente criptografia devido à sua configuração atual. Os motivos podem incluir a desativação da chave, a chave não é suportada EncryptionAlgorithm ou a chave tem um tipo não suportado KeyUsage .
Exceção de limitação: AWS KMS limites de taxa
Erro: “Você excedeu a taxa na qual você pode ligar” AWS KMS
Informações relacionadas
