Bonnes pratiques en matière de AWS KMS subventions - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques en matière de AWS KMS subventions

AWS KMS recommande les meilleures pratiques suivantes lors de la création, de l'utilisation et de la gestion des subventions.

  • Limitez les autorisations de l'octroi aux autorisations requises par le principal bénéficiaire. Utilisez le principe d'accès le moins privilégié.

  • Utilisez un principal de bénéficiaire spécifique, tel qu'un IAM rôle, et autorisez le bénéficiaire principal à n'utiliser que les API opérations dont il a besoin.

  • Utilisez les contraintes d'octroi du contexte de chiffrement pour vous assurer que les appelants utilisent la KMS clé aux fins prévues. Pour en savoir plus sur l'utilisation du contexte de chiffrement dans une demande de sécurisation de vos données, consultez Comment protéger l'intégrité de vos données chiffrées en utilisant AWS Key Management Service et EncryptionContext dans le blog sur la AWS sécurité.

    Astuce

    Utilisez la contrainte de EncryptionContextEqualsubvention dans la mesure du possible. La contrainte de EncryptionContextSubsetsubvention est plus difficile à utiliser correctement. Si vous devez l'utiliser, lisez attentivement la documentation et testez la contrainte d'octroi pour vous assurer qu'elle fonctionne comme prévu.

  • Supprimer les octrois en double. Les subventions dupliquées ont la même cléARN, API les mêmes actions, le même principal de bénéficiaire, le même contexte de chiffrement et le même nom. Si vous retirez ou révoquez l'octroi initial, mais que vous laissez les doublons, les doublons restants constituent une escalade involontaire de privilèges. Pour éviter de dupliquer les octrois lors de la relance d'une demande CreateGrant, utilisez le paramètre Name. Pour détecter les autorisations dupliquées, utilisez l'ListGrantsopération. Si vous créez accidentellement un octroi en double, retirez-le ou révoquez-le dès que possible.

    Note

    Les octrois pour les clés gérées par AWS peuvent ressembler à des doublons, mais ont des principaux bénéficiaires différents.

    Le champ GranteePrincipal de la réponse ListGrants contient habituellement le bénéficiaire principal. Toutefois, lorsque le principal bénéficiaire de la subvention est un AWS service, le GranteePrincipal champ contient le principal du service, qui peut représenter plusieurs principaux bénéficiaires différents.

  • N'oubliez pas que les octrois n'expirent pas automatiquement. Retirez ou révoquez l'octroi dès que l'autorisation n'est plus nécessaire. Les octrois qui ne sont pas supprimés peuvent créer un risque de sécurité pour les ressources chiffrées.