Examen des octrois - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen des octrois

Les subventions sont des mécanismes avancés permettant de spécifier les autorisations que vous ou un AWS service intégré AWS KMS pouvez utiliser pour spécifier comment et quand une KMS clé peut être utilisée. Les subventions sont associées à une KMS clé, et chaque subvention contient le principal qui reçoit l'autorisation d'utiliser la KMS clé et une liste des opérations autorisées. Les octrois représentent une alternative à la politique de clé et sont utiles pour des cas d'utilisation spécifiques. Pour de plus amples informations, veuillez consulter Subventions en AWS KMS.

Pour obtenir la liste des autorisations associées à une KMS clé, utilisez l' AWS KMS ListGrantsopération. Vous pouvez examiner les subventions à la recherche d'une KMS clé afin de déterminer qui ou quoi a actuellement accès à l'utilisation de la KMS clé par le biais de ces subventions. Par exemple, ce qui suit est une JSON représentation d'une subvention obtenue à l'aide de la commande list-grants dans le. AWS CLI

{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}

Pour savoir qui ou quoi a accès à la KMS clé, recherchez l'"GranteePrincipal"élément. Dans l'exemple précédent, le bénéficiaire principal est un utilisateur du rôle supposé associé à l'EC2instance i-5d476fab. L'EC2infrastructure utilise ce rôle pour attacher le EBS volume chiffré vol-5cccfb4e à l'instance. Dans ce cas, le rôle EC2 d'infrastructure est autorisé à utiliser la KMS clé car vous avez précédemment créé un EBS volume chiffré protégé par cette KMS clé. Vous avez ensuite attaché le volume à une EC2 instance.

Voici un autre exemple de JSON représentation d'une subvention obtenue à l'aide de la commande list-grants dans le. AWS CLI Dans l'exemple suivant, le directeur du bénéficiaire est un autre Compte AWS.

{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}