Étape 1 : ajouter une déclaration de politique de clé dans le compte local Étape 2 : ajouter des IAM politiques dans le compte externe Autoriser l'utilisation de KMS clés externes avec Services AWS Utilisation de KMS clés dans d'autres comptes

Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé

Vous pouvez autoriser les utilisateurs ou les rôles d'un autre utilisateur Compte AWS à utiliser une KMS clé de votre compte. L'accès entre comptes nécessite une autorisation dans la politique clé de la KMS clé et dans une IAM politique du compte de l'utilisateur externe.

L'autorisation inter-comptes n'est effective que pour les opérations suivantes :

Si vous accordez à un utilisateur d'un autre compte des autorisations pour d'autres opérations, ces autorisations n'ont aucun effet. Par exemple, si vous accordez au principal d'un autre compte une ListKeys autorisation kms : dans une IAM politique, ou kms : une ScheduleKeyDeletion autorisation sur une KMS clé dans une politique clé, les tentatives de l'utilisateur pour appeler ces opérations sur vos ressources échouent toujours.

Pour plus de détails sur l'utilisation des KMS clés dans différents comptes pour les AWS KMS opérations, consultez la colonne Utilisation entre comptes dans le AWS KMS autorisations etUtilisation de KMS clés dans d'autres comptes. Il existe également une section sur l'utilisation entre comptes dans chaque API description de la AWS Key Management Service APIréférence.

Avertissement

Faites preuve de prudence lorsque vous autorisez les principaux à utiliser vos KMS clés. Dans la mesure du possible, suivez le principe du moindre privilège. Donnez aux utilisateurs l'accès uniquement aux KMS clés dont ils ont besoin uniquement pour les opérations dont ils ont besoin.

Faites également preuve de prudence lorsque vous utilisez une KMS clé inconnue, en particulier une KMS clé d'un autre compte. Les utilisateurs malveillants peuvent vous autoriser à utiliser leur KMS clé pour obtenir des informations vous concernant ou concernant votre compte.

Pour plus d'informations sur l'utilisation des politiques pour protéger les ressources de votre compte, veuillez consulter Bonnes pratiques en matière de IAM politiques.

Pour autoriser les utilisateurs et les rôles d'un autre compte à utiliser une KMS clé, vous devez utiliser deux types de politiques différents :

La politique clé pour la KMS clé doit autoriser le compte externe (ou les utilisateurs et les rôles du compte externe) à utiliser la KMS clé. La politique clé se trouve dans le compte qui détient la KMS clé.
IAMles politiques du compte externe doivent déléguer les principales autorisations politiques à ses utilisateurs et à ses rôles. Ces politiques sont définies dans le compte externe et accordent des autorisations aux utilisateurs et rôles de ce compte.

La politique des clés détermine qui peut avoir accès à la KMS clé. La IAM politique détermine qui a accès à la KMS clé. Ni la politique clé ni la IAM politique à elles seules ne suffisent ; vous devez modifier les deux.

Pour modifier la politique clé, vous pouvez utiliser la vue des politiques dans les opérations AWS Management Console ou utiliser les PutKeyPolicyopérations CreateKeyou.

Pour obtenir de l'aide concernant IAM les politiques de modification, voirUtilisation IAM de politiques avec AWS KMS.

Pour un exemple montrant comment la politique clé et IAM les politiques fonctionnent ensemble pour permettre l'utilisation d'une KMS clé dans un autre compte, voirExemple 2 : L'utilisateur assume un rôle avec l'autorisation d'utiliser une KMS clé dans un autre Compte AWS.

Vous pouvez consulter les AWS KMS opérations entre comptes qui en résultent sur la KMS clé de vos AWS CloudTrail journaux. Les opérations qui utilisent des KMS clés dans d'autres comptes sont enregistrées à la fois dans le compte de l'appelant et dans le compte du propriétaire des KMS clés.

Rubriques

Étape 1 : ajouter une déclaration de politique de clé dans le compte local
Étape 2 : ajouter des IAM politiques dans le compte externe
Autoriser l'utilisation de KMS clés externes avec Services AWS
Utilisation de KMS clés dans d'autres comptes

Note

Les exemples présentés dans cette rubrique montrent comment utiliser conjointement une politique clé et une IAM politique pour fournir et limiter l'accès à une KMS clé. Ces exemples génériques ne sont pas destinés à représenter les autorisations requises par une KMS clé en particulier Service AWS . Pour plus d'informations sur les autorisations Service AWS requises, consultez la rubrique relative au chiffrement dans la documentation du service.

Étape 1 : ajouter une déclaration de politique de clé dans le compte local

La politique clé d'une KMS clé est le principal déterminant qui peut accéder à la KMS clé et quelles opérations ils peuvent effectuer. La politique clé se trouve toujours dans le compte qui détient la KMS clé. Contrairement aux IAM politiques, les politiques clés ne spécifient pas de ressource. La ressource est la KMS clé associée à la politique clé. Lorsque vous accordez une autorisation entre comptes, la politique KMS clé relative à la clé doit autoriser le compte externe (ou les utilisateurs et les rôles du compte externe) à utiliser la KMS clé.

Pour autoriser un compte externe à utiliser la KMS clé, ajoutez une déclaration à la politique de clé qui spécifie le compte externe. Dans l'Principalélément de la politique clé, entrez le nom de ressource Amazon (ARN) du compte externe.

Lorsque vous spécifiez un compte externe dans une politique clé, IAM les administrateurs du compte externe peuvent utiliser des IAM politiques pour déléguer ces autorisations à tous les utilisateurs et rôles du compte externe. Ils peuvent également décider quelles sont les actions spécifiées dans la politique de clé que les utilisateurs et les rôles peuvent effectuer.

Les autorisations accordées au compte externe et à ses principaux ne sont effectives que si le compte externe est activé dans la région qui héberge la KMS clé et sa politique clé. Pour plus d'informations sur les régions qui ne sont pas activées par défaut (« Régions d'adhésion »), veuillez consulter Gestion de Régions AWS dans la Références générales AWS.

Supposons, par exemple, que vous souhaitiez autoriser le compte 444455556666 à utiliser une KMS clé de chiffrement symétrique dans le compte111122223333. Pour ce faire, ajoutez une déclaration de politique comme celle de l'exemple suivant à la politique clé pour la KMS clé en compte111122223333. Cette déclaration de politique autorise le compte externe à utiliser la KMS clé dans des opérations cryptographiques pour des clés de chiffrement KMS symétriques. 444455556666

Note

L'exemple suivant représente un exemple de politique clé pour le partage d'une KMS clé avec un autre compte. Remplacez l'exemple SidPrincipal, et Action les valeurs par des valeurs valides pour l'utilisation prévue de votre KMS clé.


{
    "Sid": "Allow an external account to use this KMS key",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::444455556666:root"
        ]
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Au lieu d'accorder l'autorisation au compte externe, vous pouvez spécifier des utilisateurs et des rôles externes spécifiques dans la politique de clé. Toutefois, ces utilisateurs et rôles ne peuvent pas utiliser la KMS clé tant que IAM les administrateurs du compte externe n'ont pas associé IAM les politiques appropriées à leur identité. Les IAM politiques peuvent accorder des autorisations à tous les utilisateurs et rôles externes ou à un sous-ensemble d'entre eux spécifiés dans la politique clé. Elles peuvent également autoriser tout ou partie des actions spécifiées dans la politique de clé.

La spécification des identités dans une politique clé limite les autorisations que IAM les administrateurs du compte externe peuvent fournir. Toutefois, cela rend la gestion des politiques avec deux comptes plus complexe. Par exemple, supposons que vous ayez besoin d'ajouter un utilisateur ou un rôle. Vous devez ajouter cette identité à la politique clé du compte propriétaire de la KMS clé et créer des IAM politiques dans le compte de l'identité.

Pour spécifier des utilisateurs ou des rôles externes particuliers dans une politique clé, dans l'Principalélément, entrez le nom de ressource Amazon (ARN) d'un utilisateur ou d'un rôle dans le compte externe.

Par exemple, l'exemple de déclaration de politique clé suivant permet 444455556666 à ExampleRole in account d'utiliser une KMS clé dans le compte111122223333. Cette déclaration de politique clé donne au compte externe l'autorisation d'utiliser la KMS clé dans les opérations cryptographiques pour les clés de chiffrement KMS symétriques. 444455556666

Note


{
    "Sid": "Allow an external account to use this KMS key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:role/ExampleRole"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Note

Ne définissez pas le principal sur un astérisque (*) dans une instruction de politique de clé qui autorise des autorisations, sauf si vous utilisez des conditions pour limiter la politique de clé. Un astérisque indique l'identité de chaque Compte AWS autorisation d'utilisation de la KMS clé, à moins qu'une autre déclaration de politique ne le nie explicitement. Les utilisateurs des autres utilisateurs Comptes AWS peuvent utiliser votre KMS clé chaque fois qu'ils disposent des autorisations correspondantes dans leur propre compte.

Vous devez également décider quelles autorisations vous souhaitez accorder au compte externe. Par exemple, vous pouvez autoriser les utilisateurs à déchiffrer mais pas à chiffrer, ou à afficher la KMS clé sans l'utiliser. Pour obtenir la liste des autorisations relatives aux KMS clés, consultezAWS KMS autorisations.

Définition de la politique en matière de clés lors de la création d'une KMS clé

Lorsque vous utilisez l'CreateKeyopération pour créer une KMS clé, vous pouvez utiliser son Policy paramètre pour spécifier une politique clé qui autorise un compte externe, ou des utilisateurs et des rôles externes, à utiliser la KMS clé.

Lorsque vous créez une KMS clé dans le AWS Management Console, vous créez également sa politique clé. Lorsque vous sélectionnez des identités dans les sections Administrateurs clés et Utilisateurs clés, vous AWS KMS ajoutez des déclarations de politique pour ces identités à la politique KMS clé de la clé. La section Key Users (Utilisateurs de clé) vous permet également d'ajouter des comptes externes en tant qu'utilisateurs de clé.

Lorsque vous entrez l'ID de compte d'un compte externe, AWS KMS deux déclarations sont ajoutées à la politique clé. Cette action affecte uniquement la politique de clé. Les utilisateurs et les rôles du compte externe ne peuvent pas utiliser la KMS clé tant que vous n'avez pas joint des IAM politiques leur accordant une partie ou la totalité de ces autorisations.

La première déclaration de politique clé autorise le compte externe à utiliser la KMS clé dans des opérations cryptographiques. La deuxième déclaration de politique clé permet au compte externe de créer, de consulter et de révoquer les autorisations relatives à la KMS clé, mais uniquement lorsque la demande provient d'un AWS service intégré à AWS KMS. Ces autorisations permettent aux autres AWS services qui cryptent les données utilisateur d'utiliser la KMS clé. Ces autorisations sont conçues pour les KMS clés qui chiffrent les données utilisateur dans AWS les services.

Étape 2 : ajouter des IAM politiques dans le compte externe

La politique clé du compte propriétaire de la KMS clé définit la plage d'autorisations valide. Toutefois, les utilisateurs et les rôles du compte externe ne peuvent pas utiliser la KMS clé tant que vous n'avez pas associé des IAM politiques déléguant ces autorisations ou utilisé des autorisations pour gérer l'accès à la KMS clé. Les IAM politiques sont définies dans le compte externe.

Si la politique clé autorise le compte externe, vous pouvez associer des IAM politiques à n'importe quel utilisateur ou rôle dans le compte. Mais si la politique clé donne des autorisations à des utilisateurs ou à des rôles spécifiques, elle ne peut accorder ces autorisations qu'à tous les utilisateurs et rôles spécifiés ou à un sous-ensemble d'entre eux. IAM Si une IAM politique donne un accès KMS clé à d'autres utilisateurs ou rôles externes, elle n'a aucun effet.

La politique clé limite également les actions de la IAM stratégie. La IAM politique peut déléguer la totalité ou un sous-ensemble des actions spécifiées dans la politique clé. Si la IAM politique répertorie des actions qui ne sont pas spécifiées dans la politique clé, ces autorisations ne sont pas effectives.

L'exemple de IAM politique suivant permet au principal d'utiliser la KMS clé en compte 111122223333 pour les opérations cryptographiques. Pour accorder cette autorisation aux utilisateurs et rôles du compte 444455556666, attachez la politique aux utilisateurs ou rôles du compte 444455556666.

Note

L'exemple suivant représente un exemple de IAM politique de partage d'une KMS clé avec un autre compte. Remplacez l'exemple SidResource, et Action les valeurs par des valeurs valides pour l'utilisation prévue de votre KMS clé.


{
    "Sid": "AllowUseOfKeyInAccount111122223333",
    "Effect": "Allow",
    "Action": [
      "kms:Encrypt",
      "kms:Decrypt",
      "kms:ReEncrypt*",
      "kms:GenerateDataKey*",
      "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}

Notez les informations suivantes sur cette politique :

Contrairement aux politiques clés, les déclarations de IAM politique ne contiennent pas l'Principalélément. Dans IAM les politiques, le principal est l'identité à laquelle la politique est attachée.
L'Resourceélément de la IAM politique identifie la KMS clé que le principal peut utiliser. Pour spécifier une KMS clé, ajoutez sa clé ARN à l'Resourceélément.
Vous pouvez spécifier plusieurs KMS clés dans l'Resourceélément. Mais si vous ne spécifiez pas de KMS clés spécifiques dans l'Resourceélément, vous risquez de donner accès par inadvertance à un plus grand nombre de KMS clés que prévu.
Pour permettre à l'utilisateur externe d'utiliser la KMS clé avec AWS des services intégrés AWS KMS, vous devrez peut-être ajouter des autorisations à la politique clé ou à la IAM politique. Pour plus de détails, consultez Autoriser l'utilisation de KMS clés externes avec Services AWS.

Pour plus d'informations sur l'utilisation des IAM politiques, consultezStratégies IAM.

Autoriser l'utilisation de KMS clés externes avec Services AWS

Vous pouvez autoriser un utilisateur d'un autre compte à utiliser votre KMS clé avec un service intégré à AWS KMS. Par exemple, un utilisateur d'un compte externe peut utiliser votre KMS clé pour chiffrer les objets d'un compartiment Amazon S3 ou pour chiffrer les secrets dans lesquels ils sont stockés. AWS Secrets Manager

La politique de clé doit autoriser l'utilisateur externe ou le compte de l'utilisateur externe à utiliser la KMS clé. En outre, vous devez associer à l'identité des IAM politiques qui autorisent l'utilisateur à utiliser le Service AWS. Le service peut également exiger que les utilisateurs disposent d'autorisations supplémentaires dans la politique ou la IAM politique clé. Pour obtenir la liste des autorisations Service AWS requises sur une clé gérée par le client, consultez la rubrique Protection des données dans le chapitre Sécurité du guide de l'utilisateur ou du guide du développeur du service.

Utilisation de KMS clés dans d'autres comptes

Si vous êtes autorisé à utiliser une KMS clé dans un autre Compte AWS, vous pouvez utiliser la KMS clé dans le AWS Management Console AWS SDKs, AWS CLI, et Outils AWS pour PowerShell.

Pour identifier une KMS clé dans un autre compte dans une commande ou une API demande du shell, utilisez les identificateurs de clé suivants.

Pour les opérations cryptographiques DescribeKey, et GetPublicKey, utilisez la clé ARN ou l'alias ARN de la KMS clé.
Pour CreateGrant, GetKeyRotationStatus ListGrants, et RevokeGrant, utilisez la touche ARN de la KMS clé.

Si vous entrez uniquement un identifiant de clé ou un nom d'alias, cela AWS suppose que la KMS clé se trouve dans votre compte.

La AWS KMS console n'affiche pas KMS les clés des autres comptes, même si vous êtes autorisé à les utiliser. De plus, les listes de KMS clés affichées dans les consoles des autres AWS services n'incluent pas KMS les clés des autres comptes.

Pour spécifier une KMS clé dans un autre compte dans la console d'un AWS service, vous devez saisir la clé ARN ou l'alias ARN de la KMS clé. L'identifiant de clé requis varie en fonction du service et peut varier selon la console de service et ses API opérations. Pour plus de détails, consultez la documentation du service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contrôle d'accès basé sur les rôles () RBAC

Contrôler l'accès aux clés multirégionales