Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Lorsque vous partagez un instantané chiffré, vous devez également partager la clé gérée par le client qui a servi à chiffrer l’instantané. Vous pouvez appliquer des autorisations inter-comptes à une clé gérée par le client lors de sa création ou ultérieurement.
Les utilisateurs de votre clé gérée par le client partagée qui accèdent aux instantanés chiffrés doivent recevoir les autorisations permettant d’exécuter les actions suivantes sur la clé :
-
kms:DescribeKey -
kms:CreateGrant -
kms:GenerateDataKey -
kms:GenerateDataKeyWithoutPlaintext -
kms:ReEncrypt -
kms:Decrypt
Astuce
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant. Utilisez plutôt la clé de kms:GrantIsForAWSResource condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service.
Pour en savoir plus sur le contrôle de l’accès à une clé gérée par le client, consultez Utilisation de stratégies de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .
Pour partager une clé gérée par le client à l'aide de la AWS KMS console
-
Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Choisissez Customer managed keys (Clés gérées par le client) dans le volet de navigation.
-
Dans la colonne Alias choisissez l’alias (lien texte) de la clé gérée par le client que vous avez utilisée pour chiffrer l’instantané. Les détails de la clé s’ouvrent dans une nouvelle page.
-
Dans la section Key policy (Stratégie de clé) s’affiche soit la vue de la stratégie soit la vue par défaut. La vue de la politique affiche le document de la politique de clé. La vue par défaut affiche les sections Key administrators (Administrateurs de clé), Key deletion (Suppression de clé), Key Use (Utilisation de clé) et Other AWS accounts (Autres comptes). L’affichage par défaut s’affiche si vous avez créé la politique dans la console et que vous ne l’avez pas personnalisée. Si l’affichage par défaut n’est pas disponible, vous devez modifier manuellement la politique dans l’affichage de politique. Pour plus d’informations, consultez Affichage d’une stratégie de clé (console) dans le Guide du développeur AWS Key Management Service .
Utilisez la vue des politiques ou la vue par défaut, selon la vue à laquelle vous pouvez accéder, pour ajouter un ou plusieurs AWS comptes IDs à la politique, comme suit :
(Vue de la stratégie) Choisissez Edit (Modifier). Ajoutez un ou plusieurs AWS comptes IDs aux relevés suivants :
"Allow use of the key"et"Allow attachment of persistent resources". Sélectionnez Enregistrer les modifications. Dans l'exemple suivant, l'ID de AWS compte444455556666est ajouté à la politique.{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(Affichage par défaut) Faites défiler la page vers le bas jusqu'à Autres AWS comptes. Choisissez Ajouter d'autres AWS comptes et entrez l'identifiant du AWS compte comme demandé. Pour ajouter un autre compte, choisissez Ajouter un autre AWS compte et entrez l'identifiant du AWS compte. Une fois que vous avez ajouté tous les comptes AWS , choisissez Enregistrer les modifications.
