Por que não consigo ler ou atualizar uma política de chave KMS no AWS KMS?

Data da última atualização: 26/08/2021

Quero atualizar uma política de chaves do AWS KMS no AWS Key Management Service (AWS KMS). Verifiquei que tenho permissões de administrador para minhas identidades do AWS Identity and Access Management (IAM) (usuários, grupos e funções), mas não consigo ler nem atualizar a política de chaves do KMS.

Descrição breve

As entidades do IAM devem ter a permissão de ação da API GetKeyPolicy para ler uma política de chaves e PutKeyPolicy para atualizar uma política. Essas permissões são concedidas diretamente com a política de chaves ou com uma combinação das políticas de chave e do IAM. Para obter mais informações, consulte Gerenciamento o acesso às chaves do AWS KMS.

A política padrão do IAM da chave do KMS contém uma instrução semelhante à seguinte:

{
  "Sid": "Enable IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:root"
  },
  "Action": "kms:*",
  "Resource": "*"
}

As entidades do IAM para a conta da AWS 111122223333 podem executar qualquer ação do AWS KMS permitida na política anexada. Se as entidades não puderem executar ações de API, como GetKeyPolicy ou PutKeyPolicy, mesmo que permitam permissões em suas políticas anexadas, a instrução “Ativar permissões de usuário do IAM” pode ter sido alterada.

Resolução

Verificar as permissões da política do IAM

Verifique e confirme que as entidades do IAM tenham permissão para ler e atualizar uma chave do KMS semelhante à seguinte política do IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }
  ]
}

Histórico de eventos do CloudTrail

1.    Abra o console do AWS CloudTrail e escolha Histórico de eventos.

2.    Escolha a lista suspensa Pesquisar atributos e, em seguida, escolha Nome do evento.

3.    Na janela de pesquisa, insira PutKeyPolicy.

4.    Abra o evento PutKeyPolicy mais recente.

5.    No Registro de eventos, copie a política e cole-a em seu editor de texto favorito.

6.    Passe a política em um formato legível.

7.    Na política do IAM, Sid “Permitir acesso para administradores de chaves”, observe os administradores de identidade do IAM semelhantes aos seguintes:

{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/Administrator"
    ]
   },

Os administradores de chaves podem então ser usados para recuperar o acesso à chave.

Usar consultas do Athena

Se o evento de histórico de eventos do CloudTrail tiver passado de 90 dias, você poderá usar o Amazon Athena para pesquisar por meio de logs do CloudTrail.

Para obter instruções, consulte Uso do console do CloudTrail para criar uma tabela do Athena para logs do CloudTrail.

Para obter mais informações, consulte Como crio tabelas automaticamente no Athena para pesquisar nos logs do CloudTrail?


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?