AWS politique gérée : AWSKeyManagementServicePowerUser AWS politique gérée : AWSServiceRoleForKeyManagementServiceCustomKeyStores AWS politique gérée : AWSServiceRoleForKeyManagementServiceMultiRegionKeys AWS KMS mises à jour des politiques AWS gérées

AWS politiques gérées pour AWS Key Management Service

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d’informations, consultez la rubrique AWS Politiques gérées dans le IAMGuide de l’utilisateur.

AWS politique gérée : AWSKeyManagementServicePowerUser

Vous pouvez attacher la politique AWSKeyManagementServicePowerUser à vos identités IAM.

Vous pouvez utiliser la politique AWSKeyManagementServicePowerUser gérée pour accorder IAM aux principaux de votre compte les autorisations d'un utilisateur expérimenté. Les utilisateurs expérimentés peuvent créer des KMS clés, utiliser et gérer les KMS clés qu'ils créent et consulter toutes les KMS clés et IAM identités. Les directeurs qui disposent de la politique AWSKeyManagementServicePowerUser gérée peuvent également obtenir des autorisations auprès d'autres sources, notamment des politiques clés, d'autres IAM politiques et des subventions.

AWSKeyManagementServicePowerUserest une IAM politique AWS gérée. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.

Note

Dans cette politique, les autorisations spécifiques à une KMS clé, telles que kms:TagResource etkms:GetKeyRotationStatus, ne sont efficaces que lorsque la politique clé pour cette KMS clé autorise explicitement l' Compte AWS utilisation de IAM politiques pour contrôler l'accès à la clé. Pour déterminer si une autorisation est spécifique à une KMS clé, consultez AWS KMS autorisations et recherchez la valeur de KMSclé dans la colonne Ressources.

Cette politique donne à un utilisateur expérimenté des autorisations sur n'importe quelle KMS clé avec une politique de clé qui autorise l'opération. Pour les autorisations entre comptes, telles que kms:DescribeKey etkms:ListGrants, cela peut inclure des KMS clés non Comptes AWS fiables. Pour plus d'informations, consultez Bonnes pratiques en matière de IAM politiques et Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé. Pour déterminer si une autorisation est valide pour les KMS clés d'autres comptes, consultez AWS KMS autorisations et recherchez la valeur Oui dans la colonne Utilisation entre comptes.

Pour permettre aux principaux d'accéder à la AWS KMS console sans erreur, ils ont besoin de la balise : GetResources permission, qui n'est pas incluse dans la AWSKeyManagementServicePowerUser politique. Vous pouvez autoriser cette autorisation dans le cadre d'une IAM politique distincte.

La IAM politique AWSKeyManagementServicePowerUsergérée inclut les autorisations suivantes.

Permet aux principaux de créer des KMS clés. Dans la mesure où ce processus inclut la définition de la politique des clés, les utilisateurs expérimentés peuvent se donner, ainsi qu'à d'autres, l'autorisation d'utiliser et de gérer les KMS clés qu'ils créent.
Permet aux principaux de créer et de supprimer des alias et des tags sur toutes les KMS clés. La modification d'un tag ou d'un alias peut autoriser ou refuser l'autorisation d'utiliser et de gérer la KMS clé. Pour plus de détails, consultez ABACpour AWS KMS.
Permet aux principaux d'obtenir des informations détaillées sur toutes les KMS clés, notamment leur clé, leur configuration cryptographiqueARN, leur politique en matière de clés, leurs alias, leurs balises et l'état de rotation.
Permet aux principaux de répertorier IAM les utilisateurs, les groupes et les rôles.
Cette politique n'autorise pas les principaux à utiliser ou à gérer des KMS clés qu'ils n'ont pas créées. Ils peuvent toutefois modifier les alias et les balises de toutes les KMS clés, ce qui peut leur accorder ou leur refuser l'autorisation d'utiliser ou de gérer une KMS clé.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateAlias",
                "kms:CreateKey",
                "kms:DeleteAlias",
                "kms:Describe*",
                "kms:GenerateRandom",
                "kms:Get*",
                "kms:List*",
                "kms:TagResource",
                "kms:UntagResource",
                "iam:ListGroups",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

AWS politique gérée : AWSServiceRoleForKeyManagementServiceCustomKeyStores

Vous ne pouvez pas joindre de AWSServiceRoleForKeyManagementServiceCustomKeyStores à vos entités IAM. Cette politique est associée à un rôle lié à un service qui donne AWS KMS l'autorisation d'afficher les AWS CloudHSM clusters associés à votre magasin de AWS CloudHSM clés et de créer le réseau permettant une connexion entre votre magasin de clés personnalisé et son AWS CloudHSM cluster. Pour de plus amples informations, veuillez consulter Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2.

AWS politique gérée : AWSServiceRoleForKeyManagementServiceMultiRegionKeys

Vous ne pouvez pas joindre de AWSServiceRoleForKeyManagementServiceMultiRegionKeys à vos entités IAM. Cette politique est associée à un rôle lié à un service qui AWS KMS autorise la synchronisation de toute modification apportée au contenu clé d'une clé primaire multirégionale avec ses clés répliques. Pour de plus amples informations, veuillez consulter Autorisation de synchronisation AWS KMS des clés multirégionales.

AWS KMS mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS KMS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité de la AWS KMS Historique du document page.

Modification	Description	Date
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – Mise à jour de la politique existante	AWS KMS a ajouté un champ Statement ID (`Sid`) à la politique gérée dans la version v2 de la politique.	21 novembre 2024
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Mise à jour de la politique existante	AWS KMS a ajouté les `ec2:DescribeNetworkInterfaces` autorisations `ec2:DescribeVpcsec2:DescribeNetworkAcls`, et pour surveiller les modifications apportées au cluster VPC qui contient votre AWS CloudHSM cluster afin de fournir des messages d'erreur clairs en cas de défaillance. AWS KMS	10 novembre 2023
AWS KMS a commencé à suivre les modifications	AWS KMS a commencé à suivre les modifications apportées AWS à ses politiques gérées.	10 novembre 2023

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités et des accès

Rôles liés à un service