Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Examen de la politique de clé Les [politiques de clé](key-policies.md) constituent le principal moyen de contrôler l'accès aux clés KMS. Chaque clé KMS a exactement une politique de clé. Lorsqu'une politique de clé inclut la [politique de clé par défaut](key-policy-default.md#key-policy-default-allow-root-enable-iam), elle permet aux administrateurs IAM du compte d'utiliser des politiques IAM pour contrôler l'accès à la clé KMS. En outre, si la politique de clé donne à [un autre Compte AWS](key-policy-modifying-external-accounts.md) l'autorisation d'utiliser la clé KMS, les administrateurs IAM du compte externe peuvent utiliser des politiques IAM pour déléguer ces autorisations. Pour déterminer la liste complète des principaux qui peuvent accéder à la clé KMS, [examinez les politiques IAM](determining-access-iam-policies.md). Pour consulter la politique clé d'une [clé gérée par le AWS KMS client](concepts.md#customer-mgn-key) ou [Clé gérée par AWS](concepts.md#aws-managed-key)de votre compte, utilisez l'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)opération AWS Management Console ou dans l' AWS KMS API. Pour afficher la politique de clé, vous devez disposer des autorisations `kms:GetKeyPolicy` pour la clé KMS. Pour obtenir des instructions sur l'affichage de la politique de clé d'une clé KMS, veuillez consulter [Afficher une politique clé](key-policy-viewing.md). Examinez le document de politique de clé et notez tous les principaux spécifiés dans l'élément `Principal` de chaque instruction de politique. Dans une déclaration de politique ayant un `Allow` effet, les utilisateurs IAM, les rôles IAM et Comptes AWS l'`Principal`élément ont accès à cette clé KMS. **Note** Ne définissez pas le principal sur un astérisque (\$1) dans une instruction de politique de clé qui autorise des autorisations, sauf si vous utilisez des [conditions](policy-conditions.md) pour limiter la politique de clé. Un astérisque indique chaque identité associée à chaque Compte AWS autorisation d'utilisation de la clé KMS, sauf si une autre déclaration de politique le nie explicitement. Les utilisateurs des autres utilisateurs Comptes AWS peuvent utiliser votre clé KMS chaque fois qu'ils disposent des autorisations correspondantes sur leur propre compte. Les exemples suivants utilisent les instructions de politique trouvées dans la [politique de clé par défaut](key-policy-default.md) pour montrer comment procéder. **Example Instruction de politique 1** ``` { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" } ``` Dans l'énoncé de politique 1, `arn:aws:iam::111122223333:root` un [principal de AWS compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) fait référence au Compte AWS 111122223333. (Il ne s'agit pas de l'utilisateur root du compte). Par défaut, une déclaration de politique comme celle-ci est incluse dans le document de politique clé lorsque vous créez une nouvelle clé KMS avec le AWS Management Console, ou lorsque vous créez une nouvelle clé KMS par programmation sans fournir de politique clé. Document de politique clé contenant une déclaration autorisant l'accès aux [politiques d' Compte AWS activation IAM du compte afin d'autoriser l'accès à la clé KMS](key-policy-default.md#key-policy-default-allow-root-enable-iam). Cela signifie que les utilisateurs et rôles figurant dans le compte peuvent avoir accès à la clé KMS, même s'ils ne sont pas répertoriés explicitement en tant que principaux dans le document de politique de clé. Prenez soin d'[examiner toutes les politiques IAM](determining-access-iam-policies.md) Comptes AWS répertoriées comme principales afin de déterminer si elles autorisent l'accès à cette clé KMS. **Example Instruction de politique 2** ``` { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } ``` Dans la déclaration de politique 2, `arn:aws:iam::111122223333:role/KMSKeyAdmins` fait référence au rôle IAM nommé KMSKey Admins dans Compte AWS le document 111122223333. Les utilisateurs autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique, à savoir les opérations administratives permettant de gérer une clé KMS. **Example Instruction de politique 3** ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" } ``` Dans la déclaration de politique 3, `arn:aws:iam::111122223333:role/EncryptionApp` fait référence au rôle IAM nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique, y compris les [opérations de chiffrement](kms-cryptography.md#cryptographic-operations) relatives à une clé KMS de chiffrement symétrique. **Example Instruction de politique 4** ``` { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` Dans la déclaration de politique 4, `arn:aws:iam::111122223333:role/EncryptionApp` fait référence au rôle IAM nommé EncryptionApp dans Compte AWS 111122223333. Les principaux autorisés à assumer ce rôle sont habilités à effectuer les opérations répertoriées dans l'instruction de politique. Ces actions, lorsqu'elles sont combinées aux actions autorisées dans l'**exemple d'instruction de politique 3**, sont celles requises pour déléguer l'utilisation de la clé KMS à la plupart des [services AWS qui s'intègrent à AWS KMS](service-integration.md), notamment aux services qui utilisent des [octrois](grants.md). La GrantIsFor AWSResource valeur [kms :](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) dans l'`Condition`élément garantit que la délégation n'est autorisée que lorsque le délégué est un AWS service qui intègre AWS KMS et utilise des autorisations d'autorisation. Pour découvrir toutes les différentes façons de spécifier un principal dans un document de politique de clé, veuillez consulter la page [Spécification d'un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal_specifying) dans le *Guide de l'utilisateur IAM*. Pour en savoir plus sur les AWS KMS principales politiques, voir[Politiques clés en AWS KMS](key-policies.md).