Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Control del acceso a la eliminación de claves
<a name="deleting-keys-adding-permission"></a>

Si utiliza políticas de IAM para conceder AWS KMS permisos, las identidades de IAM que tienen acceso de AWS administrador (`"Action": "*"`) o acceso AWS KMS total (`"Action": "kms:*"`) ya pueden programar y cancelar la eliminación clave de las claves de KMS. Para permitir que los administradores de claves programen y cancelen la eliminación de claves en la política de claves, utilice la AWS KMS consola o la AWS KMS API. 

Normalmente, solo los administradores de claves tienen permiso para programar o cancelar la eliminación de claves. Sin embargo, puede conceder estos permisos a otras identidades de IAM al agregar los permisos `kms:ScheduleKeyDeletion` y `kms:CancelKeyDeletion` a la política de claves o a una política de IAM. También puedes usar la clave de [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)condición para restringir aún más los valores que los directores pueden especificar en el `PendingWindowInDays` parámetro de una [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)solicitud.

## Permitir a los administradores de claves programar y cancelar la eliminación de claves
<a name="allow-key-deletion"></a>

### Uso de la consola AWS KMS
<a name="deleting-keys-adding-permission-console"></a>

Para otorgar permiso a los administradores de claves para programar y cancelar la eliminación de claves

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija el alias o el ID de clave de la clave KMS cuyos permisos desea cambiar.

1. Seleccione la pestaña **key policy** (política de claves).

1. El siguiente paso es diferente para la *vista predeterminada* y la *vista de política* de su política de claves. La vista predeterminada solo está disponible si utiliza la política de claves de consola predeterminada. De lo contrario, solo está disponible la vista de política.

   Cuando la vista predeterminada está disponible, aparece el botón **Switch to policy view** (Cambiar a la vista de política) o **Switch to default view** (Cambiar a la vista predeterminada) en la pestaña **Key policy** (Política de claves).
   + En la vista predeterminada:

     1. En la sección **Key deletion** (Eliminación de la clave), seleccione **Allow key administrators to delete this key** (Permitir que los administradores de claves eliminen esta clave).
   + En la vista de la política:

     1. Elija **Edit (Edición de)**.

     1. En la declaración de política para los administradores de claves, agregue los permisos `kms:ScheduleKeyDeletion` y `kms:CancelKeyDeletion` al elemento `Action`.

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Seleccione **Save changes (Guardar cambios)**.

### Uso de la API AWS KMS
<a name="deleting-keys-adding-permission-cli"></a>

Puede utilizar el AWS Command Line Interface para añadir permisos para programar y cancelar la eliminación de claves.

**Para agregar permiso para programar y cancelar la eliminación de claves**

1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) para recuperar la política de claves existente y, a continuación, guarde el documento de políticas en un archivo.

1. Abra el documento de políticas en el editor de textos que prefiera. En la declaración de política para los administradores de claves, agregue los permisos `kms:ScheduleKeyDeletion` y `kms:CancelKeyDeletion`. El siguiente ejemplo muestra una declaración de política con estos dos permisos:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) para aplicar la política de claves a la clave KMS.