Afficher une politique clé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher une politique clé

Vous pouvez consulter la politique clé d'une clé gérée par le AWS KMS client ou d'une clé Clé gérée par AWSintégrée à votre compte en utilisant la AWS KMS console ou en utilisant l'GetKeyPolicyopération dans le AWS KMS API. Vous ne pouvez pas utiliser ces techniques pour visualiser la politique clé d'une KMS clé dans un autre Compte AWS.

Pour en savoir plus sur les AWS KMS principales politiques, voirPolitiques clés en AWS KMS. Pour savoir comment déterminer quels utilisateurs et quels rôles ont accès à une KMS clé, consultezDéterminer l'accès à AWS KMS keys.

Les utilisateurs autorisés peuvent afficher la politique de clé d'une Clé gérée par AWS ou d'une clé gérée par le client dans l'onglet Politique de clé de la AWS Management Console.

Pour consulter la politique clé d'une KMS clé dans le AWS Management Console, vous devez disposer des GetKeyPolicy autorisations kms : DescribeKey, kms : et kms :. ListAliases

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez les clés AWS gérées. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.

  4. Dans la liste des KMS clés, choisissez l'alias ou l'ID de clé de la KMS clé que vous souhaitez examiner.

  5. Choisissez l'onglet Politique de clé.

    Dans l'onglet Politique de clé, vous pouvez voir le document de politique de clé. Il s'agit d'une vue de politique. Dans les déclarations de politique clés, vous pouvez voir les principaux auxquels la politique clé a donné accès à la KMS clé, et vous pouvez voir les actions qu'ils peuvent effectuer.

    L'exemple suivant montre la vue de la politique de clé par défaut.

    Affichage de la politique clé par défaut dans la vue politique de la AWS KMS console

    Ou, si vous avez créé la KMS clé dans le AWS Management Console, vous verrez la vue par défaut avec des sections pour les administrateurs clés, la suppression de clés et les utilisateurs clés. Pour consulter le document de politique de clé, choisissez Passer à la vue de politique.

    L'exemple suivant montre la vue par défaut de la politique de clé par défaut.

    Affichage de la politique clé par défaut dans l'affichage par défaut de la AWS KMS console

Pour obtenir la politique clé d'une KMS clé de votre Compte AWS, utilisez l'GetKeyPolicyopération décrite dans le AWS KMS API. Vous ne pouvez pas utiliser cette opération pour afficher une politique de clé d'un autre compte.

L'exemple suivant utilise la get-key-policycommande contenue dans le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe AWS SDK laquelle pour effectuer cette demande.

Notez que le paramètre PolicyName est obligatoire, même si default est sa seule valeur valide. De plus, cette commande demande la sortie sous forme de texteJSON, plutôt que pour faciliter son affichage.

Avant d'exécuter cette commande, remplacez l'exemple d'ID de clé par un identifiant valide provenant de votre compte.

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

La réponse doit être similaire à la suivante, qui renvoie la politique de clé par défaut.

{
  "Version" : "2012-10-17",
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}