Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Examen des politiques IAM

PDF
RSS
Mode de mise au point
Examen des politiques IAM - AWS Key Management Service
Examen des politiques IAM avec le simulateur de politiques IAMExamen des politiques IAM avec l'API IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Outre la politique de clé et les octrois, vous pouvez utiliser des politiques IAM pour autoriser l'accès à une clé KMS. Pour plus d'informations sur la manière dont les politiques de clé et les politiques IAM fonctionnent ensemble, veuillez consulter AWS KMS Permissions de résolution des.

Pour déterminer quels principaux ont actuellement accès à une clé KMS via les politiques IAM, vous pouvez utiliser l'outil simulateur de politiques IAM basé sur le navigateur ou vous pouvez adresser des demandes à l'API IAM.

Examen des politiques IAM avec le simulateur de politiques IAM

Le simulateur de politiques IAM peut vous aider à découvrir quels principaux ont accès à une clé KMS via une politique IAM.

Pour utiliser le simulateur de politiques IAM pour déterminer l'accès à une clé KMS

  1. Connectez-vous au simulateur de politique IAM, AWS Management Console puis ouvrez-le à https://policysim.aws.amazon.com/ l'adresse.

  2. Dans le volet Users, Groups, and Roles, choisissez l'utilisateur, le groupe ou le rôle dont vous souhaitez simuler les politiques.

  3. (Facultatif) Décochez les cases en regard de toutes les politiques que vous souhaitez ignorer pour la simulation. Pour simuler toutes les politiques, laissez toutes les politiques sélectionnées.

  4. Dans le volet Policy Simulator, procédez comme suit :

    1. Pour Select service, choisissez Key Management Service.

    2. Pour simuler des AWS KMS actions spécifiques, pour Sélectionner des actions, choisissez les actions à simuler. Pour simuler toutes les AWS KMS actions, choisissez Tout sélectionner.

  5. (Facultatif) Le simulateur de politiques simule l'accès à toutes les clés KMS par défaut. Pour simuler l'accès à une clé KMS spécifique, sélectionnez Simulation Settings (Paramètres de simulation), puis saisissez l'Amazon Resource Name (ARN) de la clé KMS à simuler.

  6. Choisissez Exécuter la simulation.

Vous pouvez afficher les résultats de la simulation dans la section Résultats. Répétez les étapes 2 à 6 pour chaque utilisateur, groupe et rôle figurant dans le Compte AWS.

Examen des politiques IAM avec l'API IAM

Vous pouvez utiliser l'API IAM pour examiner par programmation les politiques IAM. Les étapes suivantes offrent une présentation générale de la façon de procéder :

  1. Pour chaque utilisateur Compte AWS répertorié en tant que principal dans la politique clé (c'est-à-dire chaque principal de AWS compte spécifié dans ce format :"Principal": {"AWS": "arn:aws:iam::111122223333:root"}), utilisez les ListRolesopérations ListUserset de l'API IAM pour obtenir tous les utilisateurs et rôles du compte.

  2. Pour chaque utilisateur et chaque rôle de la liste, utilisez l'SimulatePrincipalPolicyopération de l'API IAM en transmettant les paramètres suivants :

    • Pour PolicySourceArn, spécifiez le nom ARN (Amazon Resource Name) d'un utilisateur ou d'un rôle figurant dans votre liste. Vous ne pouvez spécifier qu'un seul nom PolicySourceArn pour chaque demande SimulatePrincipalPolicy. Vous devez donc appeler cette opération plusieurs fois, une fois pour chaque utilisateur et rôle de votre liste.

    • Pour la ActionNames liste, spécifiez chaque action d' AWS KMS API à simuler. Pour simuler toutes les actions de AWS KMS l'API, utilisezkms:*. Pour tester des actions AWS KMS d'API individuelles, faites précéder chaque action d'API de kms: « », par exemple « kms:ListKeys ». Pour obtenir la liste complète des actions de l'API AWS KMS , consultez Actions dans la référence d'API AWS Key Management Service .

    • (Facultatif) Pour déterminer si les utilisateurs ou les rôles ont accès à des clés KMS spécifiques, utilisez le ResourceArns paramètre pour spécifier une liste des Amazon Resource Names (ARNs) des clés KMS. Pour déterminer si les utilisateurs ou les rôles ont accès à une clé KMS quelconque, omettez le paramètre ResourceArns.

IAM répond à chaque demande SimulatePrincipalPolicy avec une décision d'évaluation : allowed, explicitDeny ou implicitDeny. Pour chaque réponse contenant une décision d'évaluation deallowed, la réponse inclut le nom de l'opération d' AWS KMS API spécifique autorisée. Elle inclut également l'ARN de la clé KMS qui a été utilisée dans l'évaluation, le cas échéant.

Sur cette page

Rubrique suivante :

Examen des octrois

Rubrique précédente :

Examen de la politique de clé

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.