Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Examen de la politique de clé
Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Chaque clé KMS a exactement une politique de clé.
Lorsqu'une politique de clé inclut la politique de clé par défaut, elle permet aux administrateurs IAM du compte d'utiliser des politiques IAM pour contrôler l'accès à la clé KMS. En outre, si la politique de clé donne à un autre Compte AWS l'autorisation d'utiliser la clé KMS, les administrateurs IAM du compte externe peuvent utiliser des politiques IAM pour déléguer ces autorisations. Pour déterminer la liste complète des principaux qui peuvent accéder à la clé KMS, examinez les politiques IAM.
Pour consulter la politique clé d'une clé gérée par le AWS KMS client ou Clé gérée par AWSde votre compte, utilisez l'GetKeyPolicyopération AWS Management Console ou dans l'AWS KMSAPI. Pour afficher la politique de clé, vous devez disposer des autorisations kms:GetKeyPolicy pour la clé KMS. Pour obtenir des instructions sur l'affichage de la politique de clé d'une clé KMS, veuillez consulter Affichage d'une politique de clé.
Examinez le document de politique de clé et notez tous les principaux spécifiés dans l'élément Principal de chaque instruction de politique. Dans une instruction de politique disposant d'un effet Allow, les utilisateur IAM, les rôles IAM et les Comptes AWS associés à l'élément Principal ont accès à cette clé KMS.
Note
Ne définissez pas le principal sur un astérisque (*) dans une instruction de politique de clé qui autorise des autorisations, sauf si vous utilisez des conditions pour limiter la politique de clé. Un astérisque autorise chaque identité dans chaque Compte AWS à utiliser la clé KMS, sauf si une autre instruction de politique la refuse explicitement. Les utilisateurs dans d'autres Comptes AWS peuvent utiliser votre clé KMS dès qu’ils ont les autorisations correspondantes dans leur propre compte.
Les exemples suivants utilisent les instructions de politique trouvées dans la politique de clé par défaut pour montrer comment procéder.
Exemple Instruction de politique 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }
Dans l'instruction de politique 1, arn:aws:iam::111122223333:root est un principal de compte AWS qui fait référence au Compte AWS 111122223333. (Il ne s'agit pas de l'utilisateur root du compte). Par défaut, une instruction de politique comme celle-ci est incluse dans le document de politique de clé lorsque vous créez une nouvelle clé CMK à l'aide de la AWS Management Console, ou que vous créez une nouvelle clé CMK par programmation sans fournir de politique de clé.
Un document de politique de clé contenant une instruction qui autorise l'accès au Compte AWS permet aux politiques IAM figurant dans le compte d'autoriser l'accès à la clé KMS. Cela signifie que les utilisateurs et rôles figurant dans le compte peuvent avoir accès à la clé KMS, même s'ils ne sont pas répertoriés explicitement en tant que principaux dans le document de politique de clé. Prenez soin d'examiner toutes les politiques IAM dans tous les Comptes AWS répertoriés en tant que principaux pour déterminer si elles autorisent l'accès à cette clé KMS.
Exemple Instruction de politique 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
Dans la déclaration de politique 2, arn:aws:iam::111122223333:role/KMSKeyAdmins fait référence au rôle IAM nommé KMS KeyAdmins dans le document Compte AWS 111122223333. Les utilisateurs autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique, à savoir les opérations administratives permettant de gérer une clé KMS.
Exemple Instruction de politique 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }
Dans la déclaration de politique 3, arn:aws:iam::111122223333:role/EncryptionApp fait référence au rôle IAM nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique, y compris les opérations de chiffrement relatives à une clé KMS de chiffrement symétrique.
Exemple Instruction de politique 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Dans la déclaration de politique 4, arn:aws:iam::111122223333:role/EncryptionApp fait référence au rôle IAM nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique. Ces actions, lorsqu'elles sont combinées aux actions autorisées dans l'exemple d'instruction de politique 3, sont celles requises pour déléguer l'utilisation de la clé KMS à la plupart des services AWS qui s'intègrent à AWS KMS, notamment aux services qui utilisent des octrois. La GrantIsFor AWSResource valeur kms : dans l'Conditionélément garantit que la délégation n'est autorisée que lorsque le délégué est un AWS service qui intègre AWS KMS et utilise des autorisations d'autorisation.
Pour découvrir toutes les différentes façons de spécifier un principal dans un document de politique de clé, veuillez consulter la page Spécification d'un principal dans le Guide de l'utilisateur IAM.
Pour en savoir plus sur les politiques de clé AWS KMS, consultez Politiques clés en AWS KMS.
