Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Permisos y acceso a claves KMS
Para usarlo AWS KMS, debe tener credenciales que AWS pueda usar para autenticar sus solicitudes. Las credenciales deben incluir permisos para acceder a AWS los recursos AWS KMS keys y [alias](kms-alias.md). Ningún AWS director tiene permisos para acceder a una clave de KMS a menos que dicho permiso se otorgue de forma explícita y nunca se deniegue. No hay permisos implícitos ni automáticos para usar o administrar una clave KMS.
Para controlar el acceso a las claves KMS, puede utilizar los siguientes mecanismos de políticas.
+ [Política de claves](key-policies.md): cada clave KMS tiene una política de claves. Es el mecanismo principal para controlar el acceso a una clave KMS. Puede utilizar solo la política de claves para controlar el acceso, lo que significa que el ámbito completo de acceso a la clave KMS se define en un único documento (la política de claves). Para obtener más información sobre el uso de políticas de claves, consulte [Políticas de claves](key-policies.md).
+ [Políticas de IAM](iam-policies.md): puede utilizar políticas de IAM en combinación con la política de claves y subvenciones para controlar el acceso a una clave KMS. Este modo de controlar el acceso le permite administrar todos los permisos de las identidades de IAM en IAM. Para utilizar una política de IAM a fin de permitir el acceso a una clave KMS, la política de claves debe permitirlo explícitamente. Para obtener más información sobre el uso de políticas de IAM, consulte [Políticas de IAM](iam-policies.md).
+ [Concesiones](grants.md): puede utilizar concesiones en combinación con la política de claves y políticas de IAM para permitir el acceso a una clave KMS. Con este modo de controlar el acceso, puede permitir el acceso a la clave KMS en la política de claves y permitir que las identidades deleguen su acceso a otros. Para obtener más información sobre cómo usar concesiones, consulte [Subvenciones en AWS KMS](grants.md).
## Políticas de clave de KMS
La forma principal de administrar el acceso a AWS KMS los recursos es mediante *políticas*. Las políticas son documentos que describen qué entidades principales pueden acceder a qué recursos. *Las políticas asociadas a una identidad de IAM se denominan *políticas basadas en la identidad (o políticas* de *IAM) y las políticas* asociadas a otros tipos de recursos se denominan políticas de recursos.* AWS KMS *las políticas de recursos para las claves de KMS se denominan políticas clave.*
Todas las claves KMS tienen una política de claves. Si no proporciona una, AWS KMS crea una para usted. La [política de claves predeterminada](key-policy-default.md) que se AWS KMS utiliza varía en función de si se crea la clave en la AWS KMS consola o se utiliza la AWS KMS API. Le recomendamos que edite la política de claves predeterminada para adaptarla a los requisitos de su organización en materia de [permisos de privilegio mínimo](least-privilege.md).
Puede utilizar únicamente la política de claves para controlar el acceso si la clave y la entidad principal de IAM están en la misma AWS cuenta, lo que significa que todo el alcance del acceso a la clave de KMS se define en un único documento (la política de claves). Sin embargo, cuando una persona que llama desde una cuenta tiene que acceder a una clave de otra cuenta, no puede utilizar únicamente la política de claves para conceder el acceso. En un escenario de varias cuentas, se debe adjuntar al usuario o rol de la persona que llama una política de IAM que permita explícitamente a dicha persona que llama realizar la llamada a la API.
También puede utilizar políticas de IAM en combinación con las concesiones y las políticas de claves para controlar el acceso a una clave KMS. Para utilizar una política de IAM a fin de controlar el acceso a una clave KMS, la política de claves debe conceder permiso a la cuenta para utilizar políticas de IAM. Puede especificar una [declaración de política de claves que habilite las políticas de IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) o puede [especificar explícitamente la entidad principal permitida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) en la política de claves.
Al redactar las políticas, asegúrese de contar con controles estrictos que restrinjan quién puede realizar las siguientes acciones:
+ Actualizar, crear y eliminar las políticas de claves de IAM y KMS
+ Adjuntar y separar políticas de IAM de los usuarios, los roles y los grupos
+ Adjuntar y separar las políticas de claves KMS de sus claves KMS
## Concesiones de claves de KMS
[Además de la IAM y las políticas clave, AWS KMS apoya las subvenciones.](grants.md) Las concesiones proporcionan una forma flexible y eficaz de delegar permisos. Puede utilizar las subvenciones para conceder claves de acceso KMS con un límite de tiempo limitado a los directores de IAM de su AWS cuenta o de otras cuentas. AWS Le recomendamos otorgar un acceso temporal si no conoce los nombres de las entidades principales en el momento de crear las políticas o si las entidades principales que requieren acceso cambian con frecuencia. La [entidad principal del beneficiario](grants.md#terms-grantee-principal) puede estar en la misma cuenta que la clave KMS o en otra cuenta. Si la entidad principal y la clave KMS están en cuentas diferentes, debe especificar una política de IAM además de la concesión. Las concesiones requieren una administración adicional, ya que debe llamar a una API para crear la concesión y para retirarla o revocarla cuando ya no sea necesaria.