Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Examen de la politique de clé
Les politiques clés constituent le principal moyen de contrôler l'accès aux KMS clés. Chaque KMS clé possède exactement une politique clé.
Lorsqu'une politique clé comprend ou inclut la politique clé par défaut, celle-ci permet IAM aux administrateurs du compte d'utiliser des IAM politiques pour contrôler l'accès à la KMS clé. De même, si la politique clé donne à une autre Compte AWS autorisation d'utiliser la KMS clé, les IAM administrateurs du compte externe peuvent utiliser des IAM politiques pour déléguer ces autorisations. Pour déterminer la liste complète des principaux autorisés à accéder à la KMS clé, examinez les IAM politiques.
Pour consulter la politique clé d'une clé gérée par le AWS KMS client ou Clé gérée par AWSde votre compte, utilisez l'GetKeyPolicyopération AWS Management Console ou le AWS KMS API. Pour consulter la politique relative aux clés, vous devez disposer kms:GetKeyPolicy des autorisations nécessaires pour la KMS clé. Pour obtenir des instructions relatives à l'affichage de la politique relative aux clés pour une KMS clé, reportez-vous à la sectionAfficher une politique clé.
Examinez le document de politique de clé et notez tous les principaux spécifiés dans l'élément Principal de chaque instruction de politique. Dans une déclaration de politique ayant un Allow effet, les IAM utilisateurs, IAM les rôles et Comptes AWS l'Principalélément ont accès à cette KMS clé.
Note
Ne définissez pas le principal sur un astérisque (*) dans une instruction de politique de clé qui autorise des autorisations, sauf si vous utilisez des conditions pour limiter la politique de clé. Un astérisque indique l'identité de chaque Compte AWS autorisation d'utilisation de la KMS clé, à moins qu'une autre déclaration de politique ne le nie explicitement. Les utilisateurs des autres utilisateurs Comptes AWS peuvent utiliser votre KMS clé chaque fois qu'ils disposent des autorisations correspondantes dans leur propre compte.
Les exemples suivants utilisent les instructions de politique trouvées dans la politique de clé par défaut pour montrer comment procéder.
Exemple Instruction de politique 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }
Dans l'énoncé de politique 1, arn:aws:iam::111122223333:root un principal de AWS compte fait référence au Compte AWS 111122223333. (Il ne s'agit pas de l'utilisateur root du compte). Par défaut, une déclaration de politique comme celle-ci est incluse dans le document de stratégie clé lorsque vous créez une nouvelle KMS clé avec le AWS Management Console, ou lorsque vous créez une nouvelle KMS clé par programmation sans fournir de politique clé.
Document de politique clé contenant une déclaration autorisant l'accès Compte AWS aux IAMpolitiques du compte pour autoriser l'accès à la KMS clé. Cela signifie que les utilisateurs et les rôles du compte peuvent avoir accès à la KMS clé même s'ils ne sont pas explicitement répertoriés en tant que principaux dans le document de politique clé. Prenez soin d'examiner toutes les IAM politiques Comptes AWS répertoriées en tant que principes afin de déterminer si elles autorisent l'accès à cette KMS clé.
Exemple Instruction de politique 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
Dans l'énoncé de politique 2, arn:aws:iam::111122223333:role/KMSKeyAdmins fait référence au IAM rôle nommé KMSKeyAdmins dans Compte AWS 111122223333. Les utilisateurs autorisés à assumer ce rôle sont autorisés à effectuer les actions répertoriées dans la déclaration de politique, à savoir les actions administratives relatives à la gestion d'une KMS clé.
Exemple Instruction de politique 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }
Dans l'énoncé de politique 3, arn:aws:iam::111122223333:role/EncryptionApp fait référence au IAM rôle nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont autorisés à effectuer les actions répertoriées dans la déclaration de politique, notamment les opérations cryptographiques pour une clé de chiffrement symétrique. KMS
Exemple Instruction de politique 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Dans l'énoncé de politique 4, arn:aws:iam::111122223333:role/EncryptionApp fait référence au IAM rôle nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique. Ces actions, combinées aux actions autorisées dans l'exemple de déclaration de politique 3, sont celles nécessaires pour déléguer l'utilisation de la KMS clé à la plupart AWS des services intégrés AWS KMS, en particulier aux services qui utilisent des subventions. La GrantIsFor AWSResource valeur kms : dans l'Conditionélément garantit que la délégation n'est autorisée que lorsque le délégué est un AWS service qui intègre AWS KMS et utilise des autorisations d'autorisation.
Pour découvrir les différentes manières de spécifier un principal dans un document de politique clé, voir Spécification d'un principal dans le guide de IAM l'utilisateur.
Pour en savoir plus sur les AWS KMS principales politiques, voirPolitiques clés en AWS KMS.
