Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour AWS Key Management Service
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.
Pour plus d’informations, consultez la rubrique AWS Politiques gérées dans le IAMGuide de l’utilisateur.
AWS politique gérée : AWSKeyManagementServicePowerUser
Vous pouvez attacher la politique AWSKeyManagementServicePowerUser
à vos identités IAM.
Vous pouvez utiliser la politique AWSKeyManagementServicePowerUser
gérée pour accorder IAM aux principaux de votre compte les autorisations d'un utilisateur expérimenté. Les utilisateurs expérimentés peuvent créer des KMS clés, utiliser et gérer les KMS clés qu'ils créent et consulter toutes les KMS clés et IAM identités. Les directeurs qui disposent de la politique AWSKeyManagementServicePowerUser
gérée peuvent également obtenir des autorisations auprès d'autres sources, notamment des politiques clés, d'autres IAM politiques et des subventions.
AWSKeyManagementServicePowerUser
est une IAM politique AWS gérée. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.
Note
Dans cette politique, les autorisations spécifiques à une KMS clé, telles que kms:TagResource
etkms:GetKeyRotationStatus
, ne sont efficaces que lorsque la politique clé pour cette KMS clé autorise explicitement l' Compte AWS utilisation de IAM politiques pour contrôler l'accès à la clé. Pour déterminer si une autorisation est spécifique à une KMS clé, consultez AWS KMS autorisations et recherchez la valeur de KMSclé dans la colonne Ressources.
Cette politique donne à un utilisateur expérimenté des autorisations sur n'importe quelle KMS clé avec une politique de clé qui autorise l'opération. Pour les autorisations entre comptes, telles que kms:DescribeKey
etkms:ListGrants
, cela peut inclure des KMS clés non Comptes AWS fiables. Pour plus d'informations, consultez Bonnes pratiques en matière de IAM politiques et Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé. Pour déterminer si une autorisation est valide pour les KMS clés d'autres comptes, consultez AWS KMS autorisations et recherchez la valeur Oui dans la colonne Utilisation entre comptes.
Pour permettre aux principaux d'accéder à la AWS KMS console sans erreur, ils ont besoin de la balise : GetResources permission, qui n'est pas incluse dans la AWSKeyManagementServicePowerUser
politique. Vous pouvez autoriser cette autorisation dans le cadre d'une IAM politique distincte.
La IAM politique AWSKeyManagementServicePowerUser
-
Permet aux principaux de créer des KMS clés. Dans la mesure où ce processus inclut la définition de la politique des clés, les utilisateurs expérimentés peuvent se donner, ainsi qu'à d'autres, l'autorisation d'utiliser et de gérer les KMS clés qu'ils créent.
-
Permet aux principaux de créer et de supprimer des alias et des tags sur toutes les KMS clés. La modification d'un tag ou d'un alias peut autoriser ou refuser l'autorisation d'utiliser et de gérer la KMS clé. Pour plus de détails, consultez ABACpour AWS KMS.
-
Permet aux principaux de répertorier IAM les utilisateurs, les groupes et les rôles.
-
Cette politique n'autorise pas les principaux à utiliser ou à gérer des KMS clés qu'ils n'ont pas créées. Ils peuvent toutefois modifier les alias et les balises de toutes les KMS clés, ce qui peut leur accorder ou leur refuser l'autorisation d'utiliser ou de gérer une KMS clé.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
AWS politique gérée : AWSServiceRoleForKeyManagementServiceCustomKeyStores
Vous ne pouvez pas joindre de AWSServiceRoleForKeyManagementServiceCustomKeyStores
à vos entités IAM. Cette politique est associée à un rôle lié à un service qui donne AWS KMS
l'autorisation d'afficher les AWS CloudHSM clusters associés à votre magasin de AWS CloudHSM clés et de créer le réseau permettant une connexion entre votre magasin de clés personnalisé et son AWS CloudHSM cluster. Pour de plus amples informations, veuillez consulter Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2.
AWS politique gérée : AWSServiceRoleForKeyManagementServiceMultiRegionKeys
Vous ne pouvez pas joindre de AWSServiceRoleForKeyManagementServiceMultiRegionKeys
à vos entités IAM. Cette politique est associée à un rôle lié à un service qui AWS KMS
autorise la synchronisation de toute modification apportée au contenu clé d'une clé primaire multirégionale avec ses clés répliques. Pour de plus amples informations, veuillez consulter Autorisation de synchronisation AWS KMS des clés multirégionales.
AWS KMS mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AWS KMS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité de la AWS KMS Historique du document page.
Modification | Description | Date |
---|---|---|
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – Mise à jour de la politique existante |
AWS KMS a ajouté un champ Statement ID ( |
21 novembre 2024 |
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Mise à jour de la politique existante |
AWS KMS a ajouté les |
10 novembre 2023 |
AWS KMS a commencé à suivre les modifications |
AWS KMS a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
10 novembre 2023 |