AWS política gestionada: AWSKeyManagementServicePowerUser AWS política gestionada: AWSServiceRoleForKeyManagementServiceCustomKeyStores AWS política gestionada: AWSServiceRoleForKeyManagementServiceMultiRegionKeys AWS KMS actualizaciones de las políticas gestionadas AWS

AWS políticas gestionadas para AWS Key Management Service

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando haya nuevas API operaciones disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

AWS política gestionada: AWSKeyManagementServicePowerUser

Puede adjuntar la política AWSKeyManagementServicePowerUser a las identidades de IAM.

Puedes usar la política AWSKeyManagementServicePowerUser administrada para conceder a IAM los directores de tu cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear KMS claves, usarlas y KMS administrarlas, y ver todas KMS las claves e IAM identidades. Los directores que tienen la política AWSKeyManagementServicePowerUser gestionada también pueden obtener permisos de otras fuentes, incluidas las políticas clave, otras IAM políticas y las subvenciones.

AWSKeyManagementServicePowerUseres una IAM política AWS gestionada. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del IAM usuario.

nota

Los permisos de esta política que son específicos de una KMS clave, por ejemplokms:GetKeyRotationStatus, kms:TagResource y, solo entran en vigor cuando la política clave de esa KMS clave permite explícitamente el Cuenta de AWS uso de IAM políticas para controlar el acceso a la clave. Para determinar si un permiso es específico de una KMS clave, consulta AWS KMS permisos y busca el valor de la KMSclave en la columna Recursos.

Esta política otorga a un usuario avanzado permisos sobre cualquier KMS clave con una política clave que permite la operación. En el caso de los permisos entre cuentas, como kms:DescribeKey ykms:ListGrants, esto puede incluir KMS claves que no Cuentas de AWS sean de confianza. Para más detalles, consulte Prácticas recomendadas para IAM las políticas y Permitir a los usuarios de otras cuentas utilizar una clave KMS. Para determinar si un permiso es válido para las KMS claves de otras cuentas, consulta AWS KMS permisos y busca el valor Sí en la columna Uso multicuenta.

Para que los usuarios principales puedan ver la AWS KMS consola sin errores, el usuario principal necesita la etiqueta: GetResources permission, que no está incluida en la AWSKeyManagementServicePowerUser política. Puedes conceder este permiso en una IAM política independiente.

La IAM política AWSKeyManagementServicePowerUsergestionada incluye los siguientes permisos.

Permite a los directores crear KMS claves. Como este proceso incluye establecer la política de claves, los usuarios avanzados pueden darse a sí mismos y a otras personas permiso para usar y administrar las KMS claves que crean.
Permite a los directores crear y eliminar alias y etiquetas en todas las KMS claves. Al cambiar una etiqueta o un alias, se puede permitir o denegar el permiso para usar y administrar la KMS clave. Para obtener más información, consulte ABAC para AWS KMS.
Permite a los directores obtener información detallada sobre todas KMS las claves, incluida su clave, la configuración criptográficaARN, la política de claves, los alias, las etiquetas y el estado de rotación.
Permite a los directores enumerar los IAM usuarios, los grupos y las funciones.
Esta política no permite que los directores usen o administren KMS claves que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las KMS claves, lo que puede permitirles o negarles el permiso para usar o administrar una KMS clave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gestionada: AWSServiceRoleForKeyManagementServiceCustomKeyStores

No puede adjuntar AWSServiceRoleForKeyManagementServiceCustomKeyStores a sus entidades IAM. Esta política está asociada a un rol vinculado a un servicio que permite AWS KMS ver los AWS CloudHSM clústeres asociados a su almacén de AWS CloudHSM claves y crear la red que permita una conexión entre su almacén de claves personalizado y su AWS CloudHSM clúster. Para obtener más información, consulte Autorizar la gestión AWS KMS de los AWS CloudHSM recursos de Amazon EC2.

AWS política gestionada: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

No puede adjuntar AWSServiceRoleForKeyManagementServiceMultiRegionKeys a sus entidades IAM. Esta política está asociada a un rol vinculado a un servicio que permite AWS KMS sincronizar cualquier cambio en el material clave de una clave principal multirregional con sus claves de réplica. Para obtener más información, consulte Autoriza la sincronización de claves AWS KMS multirregionales.

AWS KMS actualizaciones de las políticas gestionadas AWS

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS KMS desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la AWS KMS Historial de documentos página.

Cambio	Descripción	Fecha
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy: actualización de una política actual	AWS KMS agregó un campo de ID de declaración (`Sid`) a la política gestionada en la versión v2 de la política.	21 de noviembre de 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy: actualización de una política actual	AWS KMS agregó los `ec2:DescribeNetworkInterfaces` permisos `ec2:DescribeVpcsec2:DescribeNetworkAcls`, y para monitorear los cambios en el clúster VPC que contiene su AWS CloudHSM clúster, de modo que AWS KMS puedan proporcionar mensajes de error claros en caso de fallas.	10 de noviembre de 2023
AWS KMS comenzó a rastrear los cambios	AWS KMS comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.	10 de noviembre de 2023

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity and Access Management

Roles vinculados a servicios