¿Por qué no puedo leer o actualizar una política de claves de AWS KMS en AWS KMS?

3 minutos de lectura
0

Quiero actualizar una política de claves de AWS KMS en AWS Key Management Service (AWS KMS). He comprobado que tengo permisos de administrador para mis identidades de AWS Identity and Access Management (IAM) (usuarios, grupos y roles), pero no puedo leer ni actualizar la política de claves de KMS.

Descripción breve

Las entidades principales de IAM deben tener el permiso de acción de la API GetKeyPolicy para leer una política de claves y PutKeyPolicy para actualizarla. Estos permisos se conceden directamente con la política de claves o con una combinación de las políticas de clave y de IAM. Para obtener más información, consulte AWS Key Management Service.

La política de IAM de claves de AWS KMS predeterminada contiene una instrucción similar a la siguiente:

{  "Sid": "Enable IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:root"
  },
  "Action": "kms:*",
  "Resource": "*"
}

Las entidades de IAM de la cuenta de AWS 111122223333 pueden realizar cualquier acción de AWS KMS permitida en la política adjunta. A veces, las entidades no pueden realizar acciones de la API, como GetKeyPolicy o PutKeyPolicy, incluso si sus políticas adjuntas incluyen los permisos. Para resolver este error, compruebe si se cambió la instrucción «Enable IAM User Permissions».

Resolución

Cómo comprobar los permisos de la política de IAM

Asegúrese de que sus entidades de IAM tengan permiso para leer y actualizar una clave de AWS KMS similar a la siguiente política de IAM:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }
  ]
}

Cómo usar el historial de eventos de CloudTrail

  1. Abra la consola de AWS CloudTrail y, a continuación, seleccione Historial de eventos.
  2. Elija la lista desplegable Atributos de búsqueda y, a continuación, elija el Nombre del evento.
  3. En la ventana de búsqueda, introduzca PutKeyPolicy.
  4. Abra el evento PutKeyPolicy más reciente.
  5. En Registro de eventos, copie la política y péguela en el editor de texto que prefiera.
  6. Analice la política en un formato legible.
  7. En la política de IAM Sid «Allow access for Key Administrators», tenga en cuenta que los administradores de identidad de IAM son similares a lo siguiente:
{  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/Administrator"
    ]
   },

Los administradores de claves se pueden utilizar para recuperar el acceso a la clave.

Cómo hacer consultas con Athena

Si el evento del historial de eventos de CloudTrail ha pasado los 90 días, puede utilizar Amazon Athena para buscar en los registros de CloudTrail. Para obtener instrucciones, consulte Uso de la consola de CloudTrail para crear una tabla de Athena para registros de CloudTrail.

Para obtener más información, consulte ¿Cómo puedo crear tablas en Amazon Athena automáticamente para realizar búsquedas en registros de AWS CloudTrail?

Información relacionada

Protección de las claves de acceso

AWS KMS concepts

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año