Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Contrôler l'accès à la suppression des clés

PDF
RSS
Mode de mise au point
Contrôler l'accès à la suppression des clés - AWS Key Management Service
Permettre aux administrateurs clés de planifier et d'annuler la suppression des clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Si vous utilisez des politiques IAM pour accorder AWS KMS des autorisations, les identités IAM disposant d'un accès AWS administrateur ("Action": "*") ou d'un accès AWS KMS complet ("Action": "kms:*") sont déjà autorisées à planifier et à annuler la suppression des clés KMS. Pour permettre aux administrateurs clés de planifier et d'annuler la suppression des clés dans la politique des clés, utilisez la AWS KMS console ou l' AWS KMS API.

En général, seuls les administrateurs de clés sont autorisés à planifier ou à annuler la suppression des clés. Vous pouvez toutefois accorder ces autorisations à d'autres identités IAM en ajoutant les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion à la politique de clé ou à une politique IAM. Vous pouvez également utiliser la clé de kms:ScheduleKeyDeletionPendingWindowInDayscondition pour restreindre davantage les valeurs que les principaux peuvent spécifier dans le PendingWindowInDays paramètre d'une ScheduleKeyDeletiondemande.

Permettre aux administrateurs clés de planifier et d'annuler la suppression des clés

Autoriser les administrateurs de clés à planifier et annuler une suppression de clé.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez l'alias ou l'ID de clé de la clé KMS dont vous voulez modifier les autorisations.

  5. Choisissez l'onglet Key policy (Politique de clé).

  6. L'étape suivante diffère en ce qui concerne l'affichage par défaut et l'affichage des politiques de votre politique de clé. La vue par défaut n'est disponible que si vous utilisez la politique de clé de console par défaut. Dans le cas contraire, seul l'affichage des politiques est disponible.

    Lorsque la vue par défaut est disponible, un bouton Switch to policy view (Passer à la vue de politique) ou Switch to default view (Passer à la vue par défaut) apparaît dans l'onglet Key policy (Politique de clé).

    • Dans la vue par défaut :

      1. Sous Key deletion (Suppression de clé), sélectionnez Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

    • Dans la vue de politique :

      1. Choisissez Edit (Modifier).

      2. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion à l'élément Action.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Sélectionnez Enregistrer les modifications.

Autoriser les administrateurs de clés à planifier et annuler une suppression de clé.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez l'alias ou l'ID de clé de la clé KMS dont vous voulez modifier les autorisations.

  5. Choisissez l'onglet Key policy (Politique de clé).

  6. L'étape suivante diffère en ce qui concerne l'affichage par défaut et l'affichage des politiques de votre politique de clé. La vue par défaut n'est disponible que si vous utilisez la politique de clé de console par défaut. Dans le cas contraire, seul l'affichage des politiques est disponible.

    Lorsque la vue par défaut est disponible, un bouton Switch to policy view (Passer à la vue de politique) ou Switch to default view (Passer à la vue par défaut) apparaît dans l'onglet Key policy (Politique de clé).

    • Dans la vue par défaut :

      1. Sous Key deletion (Suppression de clé), sélectionnez Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

    • Dans la vue de politique :

      1. Choisissez Edit (Modifier).

      2. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion à l'élément Action.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Sélectionnez Enregistrer les modifications.

Vous pouvez utiliser le AWS Command Line Interface pour ajouter des autorisations de planification et d'annulation de la suppression de clés.

Pour ajouter une autorisation pour planifier et annuler une suppression de clé

  1. Utilisez la commande aws kms get-key-policy pour récupérer la politique de clé existante, puis enregistrez le document de politique dans un fichier.

  2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion. L'exemple suivant montre une déclaration de politique avec les deux autorisations suivantes :

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Utilisez la commande aws kms put-key-policy pour appliquer la politique de clé à la clé KMS.

Vous pouvez utiliser le AWS Command Line Interface pour ajouter des autorisations de planification et d'annulation de la suppression de clés.

Pour ajouter une autorisation pour planifier et annuler une suppression de clé

  1. Utilisez la commande aws kms get-key-policy pour récupérer la politique de clé existante, puis enregistrez le document de politique dans un fichier.

  2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion. L'exemple suivant montre une déclaration de politique avec les deux autorisations suivantes :

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Utilisez la commande aws kms put-key-policy pour appliquer la politique de clé à la clé KMS.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.