Creación de una política de DEW personalizada
Las políticas personalizadas se pueden crear como un suplemento a las políticas del sistema de DEW. Para obtener más información sobre las acciones admitidas por las políticas personalizadas, consulte Políticas de permisos y acciones admitidas.
Puede crear las políticas personalizadas de cualquiera de las siguientes maneras:
- Editor visual: Puede seleccionar configuraciones de política sin necesidad de conocer la sintaxis de política.
Parámetros de política de KMS personalizados:
- Select service: Seleccione Key Management Service.
- Select action: Defina como sea necesario.
- (Optional) Select resource: Establezca Resources en Specific y KeyId en Specify resource path. En el cuadro de diálogo que se muestra, establezca Path en el ID generado al crear la clave. Para obtener más información sobre cómo obtener el ID, consulte "Ver un CMK".
- JSON: Edite las políticas de JSON desde cero o basándose en una política existente. Para obtener más información acerca de cómo crear políticas personalizadas, consulte Creación de una política personalizada.
Ejemplo de políticas personalizadas
- Ejemplo: autorizar a los usuarios a crear e importar claves
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:create", "kms:cmk:getMaterial", "kms:cmkTag:create", "kms:cmkTag:batch", "kms:cmk:importMaterial" ] } ] }
- Ejemplo: denegar la eliminación de etiquetas clave
Una política de denegación debe usarse junto con otras políticas para que surtan efecto. Si los permisos asignados a un usuario contienen acciones Allow y Deny, las acciones Deny tienen prioridad sobre las acciones Allow.
El siguiente método se puede utilizar si necesita asignar permisos de la política KMS Administrator a un usuario, pero también prohibir que el usuario elimine etiquetas clave (kms:cmkTag:delete). Cree una política personalizada con la acción de eliminar etiquetas clave, establezca su Effect en Deny y asigne esta política y las políticas de KMS Administrator al grupo al que pertenece el usuario. A continuación, el usuario puede realizar todas las operaciones excepto eliminar las etiquetas de clave. La siguiente es una política para denegar etiquetas de par de claves.
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "kms:cmkTag:delete" ] } ] }
- Ejemplo: autorizar a los usuarios a usar claves
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] }
- Ejemplo: política multi-acción
Una política personalizada puede contener acciones de varios servicios que son todos de tipo global o de nivel de proyecto. La siguiente es una política con varias sentencias:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:task:list" ] }, { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] }