Por que não consigo ler ou atualizar uma política de chaves do AWS KMS no AWS KMS?

3 minuto de leitura
0

Quero atualizar uma política de chaves do AWS KMS no AWS Key Management Service (AWS KMS). Eu verifiquei que tenho permissões de administrador para minhas identidades do AWS Identity and Access Management (IAM) (usuários, grupos e funções). No entanto, não consigo ler nem atualizar a política de chaves do KMS.

Breve descrição

Os diretores do IAM devem ter a permissão de ação da API GetKeyPolicy para ler uma política de chave e PutKeyPolicy para atualizar uma política. Essas permissões são concedidas diretamente com a política de chaves ou com uma combinação das políticas de chave e do IAM. Para obter mais informações, consulte o AWS Key Management Service.

A política padrão de IAM de chaves do AWS KMS contém uma declaração semelhante a esta:

{  "Sid": "Enable IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:root"
  },
  "Action": "kms:*",
  "Resource": "*"
}

As entidades do IAM para a conta da AWS 111122223333 podem realizar qualquer ação do AWS KMS permitida na política anexada. Às vezes, as entidades não podem realizar ações de API, como GetKeyPolicy ou PutKeyPolicy mesmo que suas políticas anexadas incluam as permissões. Para resolver esse erro, verifique se a instrução “Ativar permissões de usuário do IAM” foi alterada.

Resolução

Verifique as permissões da política do IAM

Certifique-se de que suas entidades do IAM tenham permissão para ler e atualizar uma chave do AWS KMS semelhante a esta política do IAM:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }
  ]
}

Usar o Histórico de eventos do CloudTrail

  1. Abra o console do CloudTrail e escolha Histórico de eventos.
  2. Escolha a lista suspensa Atributos de pesquisa e, em seguida, selecione Nome do evento.
  3. Na janela de pesquisa, digite PutKeyPolicy.
  4. Abra o evento PutKeyPolicy mais recente.
  5. Em Registro de eventos, copie a política e cole-a em seu editor de texto favorito.
  6. Analise a política em um formato legível.
  7. Na política do IAM Sid “Permitir acesso para administradores de chaves”, observe os administradores de identidade do IAM semelhantes a estes:
{  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/Administrator"
    ]
   },

Os administradores de chaves podem então ser usados para recuperar o acesso à chave.

Para usar as consultas do Athena

Se o evento do histórico de eventos do CloudTrail tiver passado de 90 dias, você poderá usar o Amazon Athena para pesquisar os logs do CloudTrail. Para obter instruções, consulte Usar o console do CloudTrail para criar uma tabela do Athena para os registros do CloudTrail.

Obtenha mais informações consultando Como posso criar tabelas automaticamente no Amazon Athena para pesquisar nos logs do AWS CloudTrail?

Informações relacionadas

Chaves de acesso seguras

Conceitos do AWS KMS

AWS OFICIAL
AWS OFICIALAtualizada há um ano