Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politique gérée pour les utilisateurs expérimentés
Vous pouvez utiliser la politique AWSKeyManagementServicePowerUser gérée pour accorder IAM aux principaux de votre compte les autorisations d'un utilisateur expérimenté. Les utilisateurs expérimentés peuvent créer des KMS clés, utiliser et gérer les KMS clés qu'ils créent et consulter toutes les KMS clés et IAM identités. Les directeurs qui disposent de la politique AWSKeyManagementServicePowerUser gérée peuvent également obtenir des autorisations auprès d'autres sources, notamment des politiques clés, d'autres IAM politiques et des subventions.
AWSKeyManagementServicePowerUserest une IAM politique AWS gérée. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS
gérées dans le Guide de IAM l'utilisateur.
Note
Dans cette politique, les autorisations spécifiques à une KMS clé, telles que kms:TagResource etkms:GetKeyRotationStatus, ne sont efficaces que lorsque la politique clé pour cette KMS clé autorise explicitement l' Compte AWS utilisation de IAM politiques pour contrôler l'accès à la clé. Pour déterminer si une autorisation est spécifique à une KMS clé, consultez AWS KMS autorisations et recherchez la valeur de KMSclé dans la colonne Ressources.
Cette politique donne à un utilisateur expérimenté des autorisations sur n'importe quelle KMS clé avec une politique de clé qui autorise l'opération. Pour les autorisations entre comptes, telles que kms:DescribeKey etkms:ListGrants, cela peut inclure des KMS clés non Comptes AWS fiables. Pour plus d'informations, consultez Bonnes pratiques en matière de IAM politiques et Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé. Pour déterminer si une autorisation est valide pour les KMS clés d'autres comptes, consultez AWS KMS autorisations et recherchez la valeur Oui dans la colonne Utilisation entre comptes.
Pour permettre aux principaux d'accéder à la AWS KMS console sans erreur, ils ont besoin de la balise : GetResources permission, qui n'est pas incluse dans la AWSKeyManagementServicePowerUser politique. Vous pouvez autoriser cette autorisation dans le cadre d'une IAM politique distincte.
La IAM politique AWSKeyManagementServicePowerUser
-
Permet aux principaux de créer des KMS clés. Dans la mesure où ce processus inclut la définition de la politique des clés, les utilisateurs expérimentés peuvent se donner, ainsi qu'à d'autres, l'autorisation d'utiliser et de gérer les KMS clés qu'ils créent.
-
Permet aux principaux de créer et de supprimer des alias et des tags sur toutes les KMS clés. La modification d'un tag ou d'un alias peut autoriser ou refuser l'autorisation d'utiliser et de gérer la KMS clé. Pour plus de détails, consultez ABACpour AWS KMS.
-
Permet aux principaux de répertorier IAM les utilisateurs, les groupes et les rôles.
-
Cette politique n'autorise pas les principaux à utiliser ou à gérer des KMS clés qu'ils n'ont pas créées. Ils peuvent toutefois modifier les alias et les balises de toutes les KMS clés, ce qui peut leur accorder ou leur refuser l'autorisation d'utiliser ou de gérer une KMS clé.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
