AWS política gerenciada: AWSKeyManagementServicePowerUser AWS política gerenciada: AWSServiceRoleForKeyManagementServiceCustomKeyStores AWS política gerenciada: AWSServiceRoleForKeyManagementServiceMultiRegionKeys AWS KMS atualizações nas políticas AWS gerenciadas

AWS políticas gerenciadas para AWS Key Management Service

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomenda-se que as permissões sejam ainda mais reduzidas, definindo políticas gerenciadas pelo cliente da específicas para os casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte políticas gerenciadas AWS no Guia do Usuário IAM.

AWS política gerenciada: AWSKeyManagementServicePowerUser

É possível anexar a política AWSKeyManagementServicePowerUser às suas identidades do IAM.

Você pode usar a política AWSKeyManagementServicePowerUser gerenciada para conceder aos IAM diretores da sua conta as permissões de um usuário avançado. Usuários avançados podem criar KMS chaves, usar e gerenciar as KMS chaves que eles criam e visualizar todas as KMS chaves e IAM identidades. Os diretores que têm a política AWSKeyManagementServicePowerUser gerenciada também podem obter permissões de outras fontes, incluindo políticas importantes, outras IAM políticas e subsídios.

AWSKeyManagementServicePowerUseré uma IAM política AWS gerenciada. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia IAM do usuário.

nota

As permissões dessa política que são específicas para uma KMS chave, como kms:TagResource ekms:GetKeyRotationStatus, só são efetivas quando a política de chaves dessa KMS chave permite explicitamente que IAM as políticas sejam usadas Conta da AWS para controlar o acesso à chave. Para determinar se uma permissão é específica para uma KMS chave, veja AWS KMS permissões e procure o valor da KMSchave na coluna Recursos.

Essa política concede permissões a um usuário avançado em qualquer KMS chave com uma política de chaves que permita a operação. Para permissões entre contas, como kms:DescribeKey ekms:ListGrants, isso pode incluir KMS chaves em não confiáveis Contas da AWS. Para obter mais detalhes, consulte Práticas recomendadas para políticas do IAM e Permitir que usuários de outras contas usem uma chave do KMS. Para determinar se uma permissão é válida em KMS chaves em outras contas, consulte AWS KMS permissões e procure o valor Sim na coluna Uso entre contas.

Para permitir que os diretores visualizem o AWS KMS console sem erros, o diretor precisa da tag: GetResources permission, que não está incluída na AWSKeyManagementServicePowerUser política. Você pode permitir essa permissão em uma IAM política separada.

A IAM política AWSKeyManagementServicePowerUsergerenciada inclui as seguintes permissões.

Permite que os diretores criem KMS chaves. Como esse processo inclui a definição da política de chaves, os usuários avançados podem dar a si mesmos e aos outros permissão para usar e gerenciar as KMS chaves que eles criam.
Permite que os diretores criem e excluam aliases e tags em todas as KMS chaves. A alteração de uma tag ou alias pode permitir ou negar permissão para usar e gerenciar a KMS chave. Para obter detalhes, consulte ABAC para AWS KMS.
Permite que os diretores obtenham informações detalhadas sobre todas KMS as chaves, incluindo sua chaveARN, configuração criptográfica, política de chaves, aliases, tags e status de rotação.
Permite que os diretores listem IAM usuários, grupos e funções.
Essa política não permite que os diretores usem ou gerenciem KMS chaves que eles não criaram. No entanto, eles podem alterar aliases e tags em todas as KMS chaves, o que pode permitir ou negar a permissão para usar ou gerenciar uma KMS chave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AWSServiceRoleForKeyManagementServiceCustomKeyStores

Não é possível anexar AWSServiceRoleForKeyManagementServiceCustomKeyStores às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que dá AWS KMS permissão para visualizar os AWS CloudHSM clusters associados ao seu armazenamento de AWS CloudHSM chaves e criar a rede para oferecer suporte a uma conexão entre seu armazenamento de chaves personalizado e seu AWS CloudHSM cluster. Para obter mais informações, consulte Autorização AWS KMS para gerenciar recursos AWS CloudHSM da Amazon EC2.

AWS política gerenciada: AWSServiceRoleForKeyManagementServiceMultiRegionKeys

Não é possível anexar AWSServiceRoleForKeyManagementServiceMultiRegionKeys às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que dá AWS KMS permissão para sincronizar quaisquer alterações no material de chaves de uma chave primária multirregional com suas chaves de réplica. Para obter mais informações, consulte Autorizando a sincronização AWS KMS de chaves multirregionais.

AWS KMS atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS KMS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na AWS KMS Histórico de documentos página.

Alteração	Descrição	Data
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy: atualizar para uma política existente.	AWS KMS adicionou um campo ID de declaração (`Sid`) à política gerenciada na versão v2 da política.	21 de novembro de 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy: atualizar para uma política existente.	AWS KMS adicionou as `ec2:DescribeNetworkInterfaces` permissões `ec2:DescribeVpcsec2:DescribeNetworkAcls`,, e para monitorar as alterações no VPC que contém seu AWS CloudHSM cluster para que AWS KMS possa fornecer mensagens de erro claras em caso de falhas.	10 de novembro de 2023
AWS KMS começou a rastrear as alterações	AWS KMS começou a rastrear as mudanças em suas políticas AWS gerenciadas.	10 de novembro de 2023

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de identidade e acesso

Perfis vinculados ao serviço