Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Examen de la politique de clé

PDF
RSS
Mode de mise au point
Examen de la politique de clé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Chaque clé KMS a exactement une politique de clé.

Lorsqu'une politique de clé inclut la politique de clé par défaut, elle permet aux administrateurs IAM du compte d'utiliser des politiques IAM pour contrôler l'accès à la clé KMS. En outre, si la politique de clé donne à un autre Compte AWS l'autorisation d'utiliser la clé KMS, les administrateurs IAM du compte externe peuvent utiliser des politiques IAM pour déléguer ces autorisations. Pour déterminer la liste complète des principaux qui peuvent accéder à la clé KMS, examinez les politiques IAM.

Pour consulter la politique clé d'une clé gérée par le AWS KMS client ou Clé gérée par AWSde votre compte, utilisez l'GetKeyPolicyopération AWS Management Console ou dans l' AWS KMS API. Pour afficher la politique de clé, vous devez disposer des autorisations kms:GetKeyPolicy pour la clé KMS. Pour obtenir des instructions sur l'affichage de la politique de clé d'une clé KMS, veuillez consulter Afficher une politique clé.

Examinez le document de politique de clé et notez tous les principaux spécifiés dans l'élément Principal de chaque instruction de politique. Dans une déclaration de politique ayant un Allow effet, les utilisateurs IAM, les rôles IAM et Comptes AWS l'Principalélément ont accès à cette clé KMS.

Note

Ne définissez pas le principal sur un astérisque (*) dans une instruction de politique de clé qui autorise des autorisations, sauf si vous utilisez des conditions pour limiter la politique de clé. Un astérisque indique chaque identité associée à chaque Compte AWS autorisation d'utilisation de la clé KMS, sauf si une autre déclaration de politique le nie explicitement. Les utilisateurs des autres utilisateurs Comptes AWS peuvent utiliser votre clé KMS chaque fois qu'ils disposent des autorisations correspondantes sur leur propre compte.

Les exemples suivants utilisent les instructions de politique trouvées dans la politique de clé par défaut pour montrer comment procéder.

Exemple Instruction de politique 1
{
  "Sid": "Enable IAM User Permissions",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
  "Action": "kms:*",
  "Resource": "*"
}

Dans l'énoncé de politique 1, arn:aws:iam::111122223333:root un principal de AWS compte fait référence au Compte AWS 111122223333. (Il ne s'agit pas de l'utilisateur root du compte). Par défaut, une déclaration de politique comme celle-ci est incluse dans le document de politique clé lorsque vous créez une nouvelle clé KMS avec le AWS Management Console, ou lorsque vous créez une nouvelle clé KMS par programmation sans fournir de politique clé.

Document de politique clé contenant une déclaration autorisant l'accès aux politiques d' Compte AWS activation IAM du compte afin d'autoriser l'accès à la clé KMS. Cela signifie que les utilisateurs et rôles figurant dans le compte peuvent avoir accès à la clé KMS, même s'ils ne sont pas répertoriés explicitement en tant que principaux dans le document de politique de clé. Prenez soin d'examiner toutes les politiques IAM Comptes AWS répertoriées comme principales afin de déterminer si elles autorisent l'accès à cette clé KMS.

Exemple Instruction de politique 2
{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"},
  "Action": [
    "kms:Describe*",
    "kms:Put*",
    "kms:Create*",
    "kms:Update*",
    "kms:Enable*",
    "kms:Revoke*",
    "kms:List*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

Dans la déclaration de politique 2, arn:aws:iam::111122223333:role/KMSKeyAdmins fait référence au rôle IAM nommé KMSKey Admins dans Compte AWS le document 111122223333. Les utilisateurs autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique, à savoir les opérations administratives permettant de gérer une clé KMS.

Exemple Instruction de politique 3
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"},
  "Action": [
    "kms:DescribeKey",
    "kms:GenerateDataKey*",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

Dans la déclaration de politique 3, arn:aws:iam::111122223333:role/EncryptionApp fait référence au rôle IAM nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique, y compris les opérations de chiffrement relatives à une clé KMS de chiffrement symétrique.

Exemple Instruction de politique 4
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"},
  "Action": [
    "kms:ListGrants",
    "kms:CreateGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

Dans la déclaration de politique 4, arn:aws:iam::111122223333:role/EncryptionApp fait référence au rôle IAM nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique. Ces actions, lorsqu'elles sont combinées aux actions autorisées dans l'exemple d'instruction de politique 3, sont celles requises pour déléguer l'utilisation de la clé KMS à la plupart des services AWS qui s'intègrent à AWS KMS, notamment aux services qui utilisent des octrois. La GrantIsFor AWSResource valeur kms : dans l'Conditionélément garantit que la délégation n'est autorisée que lorsque le délégué est un AWS service qui intègre AWS KMS et utilise des autorisations d'autorisation.

Pour découvrir toutes les différentes façons de spécifier un principal dans un document de politique de clé, veuillez consulter la page Spécification d'un principal dans le Guide de l'utilisateur IAM.

Pour en savoir plus sur les AWS KMS principales politiques, voirPolitiques clés en AWS KMS.

Rubrique suivante :

Examen des politiques IAM

Rubrique précédente :

Détermination de l'accès

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.