Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

ABAC pour AWS KMS

PDF
RSS
Mode de mise au point
ABAC pour AWS KMS - AWS Key Management Service
Clés de condition ABAC pour AWS KMSDes balises ou des alias ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. AWS KMS prend en charge ABAC en vous permettant de contrôler l'accès aux clés gérées par vos clients en fonction des balises et des alias associés aux clés KMS. Les clés de condition de balise et d'alias qui activent ABAC AWS KMS constituent un moyen puissant et flexible d'autoriser les principaux à utiliser les clés KMS sans modifier les politiques ni gérer les subventions. Toutefois, vous devriez utiliser cette fonction avec précaution, afin que les principaux ne soient pas autorisés ou refusés par inadvertance.

Si vous utilisez l'ABAC, sachez que l'autorisation de gérer les balises et les alias est désormais une autorisation de contrôle d'accès. Assurez-vous de connaître les balises et alias existants sur toutes les clés KMS avant de déployer une politique qui en dépend. Prenez des précautions raisonnables lors de l'ajout, de la suppression et de la mise à jour des alias, ainsi que lors de l'étiquetage et du désétiquetage des clés. Accordez des autorisations pour gérer les balises et les alias uniquement aux principaux qui en ont besoin, et limitez les balises et les alias qu'ils peuvent gérer.

Remarques

Lorsque vous utilisez ABAC pour AWS KMS, veillez à ne pas autoriser les principaux à gérer les balises et les alias. La modification d'une balise ou d'un alias peut autoriser ou refuser l'accès à une clé KMS. Les administrateurs de clés qui n'ont pas l'autorisation de modifier les politiques de clé ou de créer des octrois peuvent contrôler l'accès aux clés KMS s'ils sont autorisés à gérer les balises ou les alias.

Les modifications d'alias et de balises peuvent prendre jusqu'à cinq minutes pour affecter l'autorisation de clé KMS. Les modifications récentes peuvent être visibles dans les opérations d'API avant qu'elles n'affectent l'autorisation.

Pour contrôler l'accès à une clé KMS en fonction de son alias, vous devez utiliser une clé de condition. Vous ne pouvez pas utiliser un alias pour représenter une clé KMS dans l'élément Resource d'une instruction de politique. Lorsqu'un alias apparaît dans l'élément Resource, l'instruction de politique s'applique à l'alias et non à la clé KMS associée.

En savoir plus

Clés de condition ABAC pour AWS KMS

Pour autoriser l'accès aux clés KMS en fonction de leurs balises et alias, utilisez les clés de condition suivantes dans une politique de clé ou une politique IAM.

Clé de condition ABAC Description Type de stratégie AWS KMS opérations
lois : ResourceTag La balise (clé et valeur) de la clé KMS correspond à la balise (clé et valeur) ou au modèle de balise dans la politique. Politique IAM uniquement Opérations liées aux ressources de clé KMS 2
aws :RequestTag//tag-key La balise (clé et valeur) dans la demande correspond à la balise (clé et valeur) ou au modèle de balise dans la politique. Politique de clé et politiques IAM1 TagResource, UntagResource
lois : TagKeys Dans la demande, les clés de balise correspondent à celles de la politique. Politique de clé et politiques IAM1 TagResource, UntagResource
km : ResourceAliases Les alias associés à la clé KMS correspondent aux alias ou aux modèles d'alias de la politique. Politique IAM uniquement Opérations liées aux ressources de clé KMS 2
km : RequestAlias L'alias qui représente la clé KMS dans la demande correspond à l'alias ou aux modèles d'alias de la politique. Politique de clé et politiques IAM1 opérations cryptographiques, DescribeKeyGetPublicKey

1Toute clé de condition pouvant être utilisée dans une politique de clé peut également être utilisée dans une politique IAM, mais uniquement si la politique clé le permet.

2Une opération de ressource de clé KMS est une opération autorisée pour une clé KMS particulière. Pour identifier les opérations de ressources de clés KMS, dans la table AWS KMS des autorisations, recherchez la valeur de la clé KMS dans la colonne Resources de l'opération.

Par exemple, vous pouvez utiliser ces clés de condition pour créer les politiques suivantes.

  • Une politique IAM avec kms:ResourceAliases qui autorise l'utilisation de clés KMS avec un alias ou un modèle d'alias particulier. Cela est un peu différent des politiques qui reposent sur des balises : bien que vous puissiez utiliser des modèles d'alias dans une politique, chaque alias doit être unique dans une région Compte AWS et. Cela vous permet d'appliquer une politique à un ensemble sélectionné de clés KMS sans indiquer la clé ARNs des clés KMS dans la déclaration de stratégie. Pour ajouter ou supprimer des clés KMS de l'ensemble, modifiez l'alias de la clé KMS.

  • Une politique de clé avec kms:RequestAlias qui permet aux principaux d'utiliser une clé KMS dans une opération Encrypt, mais uniquement lorsque la demande Encrypt utilise cet alias pour identifier la clé KMS.

  • Une politique IAM avec aws:ResourceTag/tag-key qui refuse l'autorisation d'utiliser des clés KMS avec une clé et une valeur de balise particulières. Cela vous permet d'appliquer une politique à un ensemble sélectionné de clés KMS sans indiquer la clé ARNs des clés KMS dans la déclaration de stratégie. Pour ajouter ou supprimer des clés KMS de l'ensemble, étiquetez ou désétiquetez la clé KMS.

  • Une politique IAM avec aws:RequestTag/tag-key qui permet aux principaux de supprimer uniquement les balises de clés KMS "Purpose"="Test".

  • Une politique IAM avec aws:TagKeys qui refuse l'autorisation d'étiqueter ou de désétiqueter une clé KMS avec une clé de balise Restricted.

L'ABAC rend la gestion des accès flexible et évolutive. Par exemple, vous pouvez utiliser la clé de condition aws:ResourceTag/tag-key pour créer une politique IAM qui permet aux principaux d'utiliser une clé KMS pour des opérations spécifiées uniquement lorsque la clé KMS possède une balise Purpose=Test. La politique s'applique à toutes les clés KMS dans toutes les régions du Compte AWS.

Lorsqu'elle est attachée à un utilisateur ou à un rôle, la politique IAM suivante permet aux principaux d'utiliser toutes les clés KMS existantes avec une balise Purpose=Test pour les opérations spécifiées. Pour autoriser cet accès à des clés KMS nouvelles ou existantes, vous n'avez pas besoin de modifier la politique. Il suffit de joindre la balise Purpose=Test aux clés KMS. De même, pour supprimer cet accès des clés KMS avec une balise Purpose=Test, modifiez ou supprimez la balise. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AliasBasedIAMPolicy",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Purpose": "Test"
        }
      }
    }
  ]
}

Toutefois, si vous utilisez cette fonction, faites attention lors de la gestion des balises et des alias. L'ajout, la modification ou la suppression d'une balise ou d'un alias peut autoriser ou refuser l'accès à une clé KMS par inadvertance. Les administrateurs de clés qui n'ont pas l'autorisation de modifier les politiques de clé ou de créer des octrois peuvent contrôler l'accès aux clés KMS s'ils sont autorisés à gérer les balises et les alias. Pour atténuer ce risque, envisagez de limiter les autorisations de gestion des balises et des alias. Par exemple, vous pouvez autoriser uniquement les principaux sélectionnés à gérer les balises Purpose=Test. Pour plus de détails, veuillez consulter Utiliser des alias pour contrôler l'accès aux clés KMS et Utiliser des balises pour contrôler l'accès aux clés KMS.

Des balises ou des alias ?

AWS KMS supporte ABAC avec des tags et des alias. Les deux options offrent une stratégie de contrôle d'accès flexible et évolutive, mais elles sont légèrement différentes l'une de l'autre.

Vous pouvez décider d'utiliser des balises ou des alias en fonction de vos habitudes AWS d'utilisation particulières. Par exemple, si vous avez déjà accordé des autorisations d'étiquetage à la plupart des administrateurs, il peut être plus facile de contrôler une stratégie d'autorisation basée sur des alias. Ou, si vous approchez du quota pour le nombre d'alias par clé KMS, vous pouvez préférer une stratégie d'autorisation basée sur des balises.

Les avantages suivants sont d'intérêt général.

Avantages du contrôle d'accès basé sur les identifications

  • Même mécanisme d'autorisation pour différents types de AWS ressources.

    Vous pouvez utiliser la même balise ou clé de balise pour contrôler l'accès à plusieurs types de ressources, tels qu'un cluster Amazon Relational Database Service (Amazon RDS), un volume Amazon Elastic Block Store (Amazon EBS) et une clé KMS. Cette fonction permet plusieurs modèles d'autorisation plus flexibles que le contrôle d'accès classique basé sur les rôles.

  • Autoriser l'accès à un groupe de clés KMS.

    Vous pouvez utiliser des balises pour gérer l'accès à un groupe de clés KMS dans le même Compte AWS et la même région. Attribuez la même balise ou la même clé de balise aux clés KMS que vous choisissez. Créez ensuite une déclaration de easy-to-maintain politique simple basée sur le tag ou la clé du tag. Pour ajouter ou supprimer une clé KMS de votre groupe d'autorisations, ajoutez ou supprimez la balise ; vous n'avez pas besoin de modifier la politique.

Avantages du contrôle d'accès basé sur les alias

  • Autoriser l'accès aux opérations cryptographiques en fonction des alias.

    La plupart des conditions de politique basées sur les demandes pour les attributs, y compris aws :RequestTag/tag-key, affectent uniquement les opérations qui ajoutent, modifient ou suppriment l'attribut. Mais la clé de RequestAlias condition kms : contrôle l'accès aux opérations cryptographiques en fonction de l'alias utilisé pour identifier la clé KMS dans la demande. Par exemple, vous pouvez accorder à un principal l'autorisation d'utiliser une clé KMS dans une opération Encrypt mais uniquement lorsque la valeur du paramètre KeyId est alias/restricted-key-1. Cette condition nécessite tous les éléments suivants pour répondre aux exigences :

    • La clé KMS doit être associée à cet alias.

    • La demande doit utiliser l'alias pour identifier la clé KMS.

    • Le principal doit être autorisé à utiliser la clé KMS sujette à la condition kms:RequestAlias.

    Cela est particulièrement utile si vos applications utilisent fréquemment des noms d'alias ou des alias ARNs pour faire référence aux clés KMS.

  • Fournir des autorisations très limitées.

    Un alias doit être unique dans une région Compte AWS et. Par conséquent, donner aux principaux accès à une clé KMS basée sur un alias peut être beaucoup plus restrictif que leur donner un accès basé sur une balise. Contrairement aux alias, les balises peuvent être affectées à plusieurs clés KMS dans le même compte et la même région. Si vous le souhaitez, vous pouvez utiliser un modèle d'alias, tel que alias/test*, pour donner aux principaux accès à un groupe de clés KMS dans le même compte et la même région. Cependant, autoriser ou refuser l'accès à un alias particulier permet un contrôle très strict sur les clés KMS.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.