Examen des stratégies IAM - AWS Key Management Service
Examen des IAM politiques à l'aide du simulateur IAM de politiquesExaminer IAM les politiques avec le IAM API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen des stratégies IAM

Outre la politique clé et les subventions, vous pouvez également utiliser des IAMpolitiques pour autoriser l'accès à une KMS clé. Pour plus d'informations sur la manière dont IAM les politiques et les politiques clés fonctionnent ensemble, voirAWS KMS Permissions de dépannage.

Pour déterminer quels principaux ont actuellement accès à une KMS clé par le biais de IAM politiques, vous pouvez utiliser l'outil IAMPolicy Simulator basé sur un navigateur ou vous pouvez adresser des demandes au. IAM API

Examen des IAM politiques à l'aide du simulateur IAM de politiques

Le simulateur de IAM politique peut vous aider à savoir quels principaux ont accès à une KMS clé par le biais d'une IAM politique.

Pour utiliser le simulateur IAM de politiques afin de déterminer l'accès à une KMS clé

  1. Connectez-vous au AWS Management Console puis ouvrez-le dans le simulateur de IAM politiques à l'adressehttps://policysim.aws.amazon.com/.

  2. Dans le volet Users, Groups, and Roles, choisissez l'utilisateur, le groupe ou le rôle dont vous souhaitez simuler les politiques.

  3. (Facultatif) Décochez les cases en regard de toutes les politiques que vous souhaitez ignorer pour la simulation. Pour simuler toutes les politiques, laissez toutes les politiques sélectionnées.

  4. Dans le volet Policy Simulator, procédez comme suit :

    1. Pour Select service, choisissez Key Management Service.

    2. Pour simuler des AWS KMS actions spécifiques, pour Sélectionner des actions, choisissez les actions à simuler. Pour simuler toutes les AWS KMS actions, choisissez Tout sélectionner.

  5. (Facultatif) Le Policy Simulator simule l'accès à toutes les KMS clés par défaut. Pour simuler l'accès à une KMS clé spécifique, choisissez Simulation Settings, puis tapez le Amazon Resource Name (ARN) de la KMS clé à simuler.

  6. Choisissez Exécuter la simulation.

Vous pouvez afficher les résultats de la simulation dans la section Résultats. Répétez les étapes 2 à 6 pour chaque utilisateur, groupe et rôle figurant dans le Compte AWS.

Examiner IAM les politiques avec le IAM API

Vous pouvez utiliser le IAM API pour examiner les IAM politiques par programmation. Les étapes suivantes offrent une présentation générale de la façon de procéder :

  1. Pour chaque utilisateur Compte AWS répertorié comme principal dans la politique clé (c'est-à-dire chaque principal de AWS compte spécifié dans ce format :"Principal": {"AWS": "arn:aws:iam::111122223333:root"}), utilisez les ListRolesopérations ListUserset dans le IAM API pour obtenir tous les utilisateurs et rôles du compte.

  2. Pour chaque utilisateur et chaque rôle de la liste, utilisez l'SimulatePrincipalPolicyopération indiquée dans le IAMAPI, en transmettant les paramètres suivants :

    • PourPolicySourceArn, spécifiez le nom de ressource Amazon (ARN) d'un utilisateur ou d'un rôle dans votre liste. Vous ne pouvez spécifier qu'un seul nom PolicySourceArn pour chaque demande SimulatePrincipalPolicy. Vous devez donc appeler cette opération plusieurs fois, une fois pour chaque utilisateur et rôle de votre liste.

    • Pour la ActionNames liste, spécifiez toutes les AWS KMS API actions à simuler. Pour simuler toutes les AWS KMS API actions, utilisezkms:*. Pour tester des AWS KMS API actions individuelles, faites précéder chaque API action de kms: « », par exemple « kms:ListKeys ». Pour une liste complète des AWS KMS API actions, voir Actions dans la AWS Key Management Service APIréférence.

    • (Facultatif) Pour déterminer si les utilisateurs ou les rôles ont accès à des KMS clés spécifiques, utilisez le ResourceArns paramètre pour spécifier une liste des Amazon Resource Names (ARNs) des KMS clés. Pour déterminer si les utilisateurs ou les rôles ont accès à une KMS clé, omettez le ResourceArns paramètre.

IAMrépond à chaque SimulatePrincipalPolicy demande par une décision d'évaluation : allowedexplicitDeny, ouimplicitDeny. Pour chaque réponse contenant une décision d'évaluation deallowed, la réponse inclut le nom de l' AWS KMS APIopération spécifique autorisée. Il inclut également ARN la KMS clé qui a été utilisée lors de l'évaluation, le cas échéant.