Contrôler l'accès à la suppression des clés - AWS Key Management Service
Permettre aux administrateurs clés de planifier et d'annuler la suppression des clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôler l'accès à la suppression des clés

Si vous utilisez des IAM politiques pour autoriser AWS KMS les autorisations, les IAM identités disposant d'un accès AWS administrateur ("Action": "*") ou d'un accès AWS KMS complet ("Action": "kms:*") sont déjà autorisées à planifier et à annuler la suppression des KMS clés. Pour permettre aux administrateurs clés de planifier et d'annuler la suppression des clés dans la politique des clés, utilisez la AWS KMS console ou le AWS KMS API.

En général, seuls les administrateurs de clés sont autorisés à planifier ou à annuler la suppression des clés. Toutefois, vous pouvez accorder ces autorisations à d'autres IAM identités en ajoutant l'kms:CancelKeyDeletionautorisation kms:ScheduleKeyDeletion et à la politique clé ou à une IAM stratégie. Vous pouvez également utiliser la clé de kms:ScheduleKeyDeletionPendingWindowInDayscondition pour restreindre davantage les valeurs que les principaux peuvent spécifier dans le PendingWindowInDays paramètre d'une ScheduleKeyDeletiondemande.

Permettre aux administrateurs clés de planifier et d'annuler la suppression des clés

Autoriser les administrateurs de clés à planifier et annuler une suppression de clé.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez l'alias ou l'ID de clé de la KMS clé dont vous souhaitez modifier les autorisations.

  5. Choisissez l'onglet Key policy (Politique de clé).

  6. L'étape suivante diffère en ce qui concerne l'affichage par défaut et l'affichage des politiques de votre politique de clé. La vue par défaut n'est disponible que si vous utilisez la politique de clé de console par défaut. Dans le cas contraire, seul l'affichage des politiques est disponible.

    Lorsque la vue par défaut est disponible, un bouton Switch to policy view (Passer à la vue de politique) ou Switch to default view (Passer à la vue par défaut) apparaît dans l'onglet Key policy (Politique de clé).

    • Dans la vue par défaut :

      1. Sous Key deletion (Suppression de clé), sélectionnez Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

    • Dans la vue de politique :

      1. Choisissez Edit (Modifier).

      2. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion à l'élément Action.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. Sélectionnez Enregistrer les modifications.

Vous pouvez utiliser le AWS Command Line Interface pour ajouter des autorisations de planification et d'annulation de la suppression de clés.

Pour ajouter une autorisation pour planifier et annuler une suppression de clé

  1. Utilisez la commande aws kms get-key-policy pour récupérer la politique de clé existante, puis enregistrez le document de politique dans un fichier.

  2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion. L'exemple suivant montre une déclaration de politique avec les deux autorisations suivantes :

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. Utilisez la aws kms put-key-policycommande pour appliquer la politique des touches à la KMS clé.