AWS politiques gérées pour AWS Key Management Service - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Key Management Service

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d’informations, consultez la rubrique AWS Politiques gérées dans le IAMGuide de l’utilisateur.

AWS politique gérée : AWSKeyManagementServicePowerUser

Vous pouvez attacher la politique AWSKeyManagementServicePowerUser à vos identités IAM.

Vous pouvez utiliser la politique AWSKeyManagementServicePowerUser gérée pour accorder IAM aux principaux de votre compte les autorisations d'un utilisateur expérimenté. Les utilisateurs expérimentés peuvent créer des KMS clés, utiliser et gérer les KMS clés qu'ils créent et consulter toutes les KMS clés et IAM identités. Les directeurs qui disposent de la politique AWSKeyManagementServicePowerUser gérée peuvent également obtenir des autorisations auprès d'autres sources, notamment des politiques clés, d'autres IAM politiques et des subventions.

AWSKeyManagementServicePowerUserest une IAM politique AWS gérée. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.

Note

Dans cette politique, les autorisations spécifiques à une KMS clé, telles que kms:TagResource etkms:GetKeyRotationStatus, ne sont efficaces que lorsque la politique clé pour cette KMS clé autorise explicitement l' Compte AWS utilisation de IAM politiques pour contrôler l'accès à la clé. Pour déterminer si une autorisation est spécifique à une KMS clé, consultez AWS KMS autorisations et recherchez la valeur de KMSclé dans la colonne Ressources.

Cette politique donne à un utilisateur expérimenté des autorisations sur n'importe quelle KMS clé avec une politique de clé qui autorise l'opération. Pour les autorisations entre comptes, telles que kms:DescribeKey etkms:ListGrants, cela peut inclure des KMS clés non Comptes AWS fiables. Pour plus d'informations, consultez Bonnes pratiques en matière de IAM politiques et Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé. Pour déterminer si une autorisation est valide pour les KMS clés d'autres comptes, consultez AWS KMS autorisations et recherchez la valeur Oui dans la colonne Utilisation entre comptes.

Pour permettre aux principaux d'accéder à la AWS KMS console sans erreur, ils ont besoin de la balise : GetResources permission, qui n'est pas incluse dans la AWSKeyManagementServicePowerUser politique. Vous pouvez autoriser cette autorisation dans le cadre d'une IAM politique distincte.

La IAM politique AWSKeyManagementServicePowerUsergérée inclut les autorisations suivantes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }

AWS politique gérée : AWSServiceRoleForKeyManagementServiceCustomKeyStores

Vous ne pouvez pas joindre de AWSServiceRoleForKeyManagementServiceCustomKeyStores à vos entités IAM. Cette politique est associée à un rôle lié à un service qui donne AWS KMS l'autorisation d'afficher les AWS CloudHSM clusters associés à votre magasin de AWS CloudHSM clés et de créer le réseau permettant une connexion entre votre magasin de clés personnalisé et son AWS CloudHSM cluster. Pour de plus amples informations, veuillez consulter Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2.

AWS politique gérée : AWSServiceRoleForKeyManagementServiceMultiRegionKeys

Vous ne pouvez pas joindre de AWSServiceRoleForKeyManagementServiceMultiRegionKeys à vos entités IAM. Cette politique est associée à un rôle lié à un service qui AWS KMS autorise la synchronisation de toute modification apportée au contenu clé d'une clé primaire multirégionale avec ses clés répliques. Pour de plus amples informations, veuillez consulter Autorisation de synchronisation AWS KMS des clés multirégionales.

AWS KMS mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS KMS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité de la AWS KMS Historique du document page.

Modification Description Date

AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – Mise à jour de la politique existante

AWS KMS a ajouté un champ Statement ID (Sid) à la politique gérée dans la version v2 de la politique.

21 novembre 2024

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Mise à jour de la politique existante

AWS KMS a ajouté les ec2:DescribeNetworkInterfaces autorisations ec2:DescribeVpcsec2:DescribeNetworkAcls, et pour surveiller les modifications apportées au cluster VPC qui contient votre AWS CloudHSM cluster afin de fournir des messages d'erreur clairs en cas de défaillance. AWS KMS

10 novembre 2023

AWS KMS a commencé à suivre les modifications

AWS KMS a commencé à suivre les modifications apportées AWS à ses politiques gérées.

10 novembre 2023