Por que não consigo ler ou atualizar uma política de chave KMS no AWS KMS?

3 minuto de leitura

Quero atualizar uma política de chaves do AWS KMS no AWS Key Management Service (AWS KMS). Verifiquei que tenho permissões de administrador para minhas identidades do AWS Identity and Access Management (IAM) (usuários, grupos e funções), mas não consigo ler nem atualizar a política de chaves do KMS.

Descrição breve

As entidades do IAM devem ter a permissão de ação da API GetKeyPolicy para ler uma política de chaves e PutKeyPolicy para atualizar uma política. Essas permissões são concedidas diretamente com a política de chaves ou com uma combinação das políticas de chave e do IAM. Para obter mais informações, consulte Gerenciamento o acesso às chaves do AWS KMS.

A política padrão do IAM da chave do KMS contém uma instrução semelhante à seguinte:

{
  "Sid": "Enable IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:root"
  },
  "Action": "kms:*",
  "Resource": "*"
}

As entidades do IAM para a conta da AWS 111122223333 podem executar qualquer ação do AWS KMS permitida na política anexada. Se as entidades não puderem executar ações de API, como GetKeyPolicy ou PutKeyPolicy, mesmo que permitam permissões em suas políticas anexadas, a instrução “Ativar permissões de usuário do IAM” pode ter sido alterada.

Resolução

Verificar as permissões da política do IAM

Verifique e confirme que as entidades do IAM tenham permissão para ler e atualizar uma chave do KMS semelhante à seguinte política do IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }
  ]
}

Histórico de eventos do CloudTrail

1. Abra o console do AWS CloudTrail e escolha Histórico de eventos.

2. Escolha a lista suspensa Pesquisar atributos e, em seguida, escolha Nome do evento.

3. Na janela de pesquisa, insira PutKeyPolicy.

4. Abra o evento PutKeyPolicy mais recente.

5. No Registro de eventos, copie a política e cole-a em seu editor de texto favorito.

6. Passe a política em um formato legível.

7. Na política do IAM, Sid “Permitir acesso para administradores de chaves”, observe os administradores de identidade do IAM semelhantes aos seguintes:

{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/Administrator"
    ]
   },

Os administradores de chaves podem então ser usados para recuperar o acesso à chave.

Usar consultas do Athena

Se o evento de histórico de eventos do CloudTrail tiver passado de 90 dias, você poderá usar o Amazon Athena para pesquisar por meio de logs do CloudTrail.

Para obter instruções, consulte Uso do console do CloudTrail para criar uma tabela do Athena para logs do CloudTrail.

Para obter mais informações, consulte Como crio tabelas automaticamente no Athena para pesquisar nos logs do CloudTrail?

Informações relacionadas

Chaves do AWS KMS

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Por que não consigo usar uma chave personalizada do AWS KMS para criar ou anexar um volume criptografado do EBS?
AWS OFICIALAtualizada há 9 meses
Como resolvo o erro “A nova política de chaves não permitirá que você atualize a política de chaves no futuro” quando tento criar uma chave do AWS KMS usando o AWS CloudFormation?
AWS OFICIALAtualizada há um ano
Devo usar uma chave gerenciada do AWS KMS ou uma chave do KMS gerenciada pelo cliente para criptografar meus objetos no Amazon S3?
AWS OFICIALAtualizada há um ano
Como listo concessões de chave e entidades da KMS por região no AWS KMS?
AWS OFICIALAtualizada há 3 anos