Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS KMS autorisations
Ce tableau est conçu pour vous aider à comprendre AWS KMS les autorisations afin que vous puissiez contrôler l'accès à vos AWS KMS ressources. Les définitions des en-têtes de colonne apparaissent sous le tableau.
Vous pouvez également en savoir plus sur AWS KMS les autorisations dans la AWS Key Management Service rubrique Actions, ressources et clés de condition de la référence d'autorisation de service. Toutefois, cette rubrique ne répertorie pas toutes les clés de condition que vous pouvez utiliser pour affiner chaque autorisation.
Pour plus d'informations sur les AWS KMS opérations valides pour les clés de chiffrement symétriques, KMS les clés asymétriques et KMS les HMAC KMS clés, consultez le. Référence des types de clés
Note
Vous devrez peut-être faire défiler horizontalement ou verticalement pour voir toutes les données de la table.
Actions et autorisations | Type de stratégie | Utilisation inter-comptes | Ressources (pour les IAM politiques) | AWS KMS clés de condition |
---|---|---|---|---|
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
ConnectCustomKeyStore
|
IAMpolitique | Non |
|
|
Pour utiliser cette opération, l'appelant doit avoir l'autorisation
Pour plus de détails, consultez Contrôle de l'accès aux alias. |
Stratégie IAM (pour l'alias) |
Non |
Alias |
Aucune (lorsque vous contrôlez l'accès à l'alias) |
Politique clé (pour la KMS clé) |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
CreateCustomKeyStore
|
IAMpolitique | Non |
|
|
|
Stratégie de clé |
Oui |
KMSclé |
Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions d'octroi : Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
IAMpolitique |
Non |
|
km : BypassPolicyLockoutSafetyCheck aws :RequestTag/tag-key (clé de condition AWS globale) aws :ResourceTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale) |
|
Politique de clé |
Oui |
KMSclé |
Conditions des opérations de chiffrement Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
Pour utiliser cette opération, l'appelant doit avoir l'autorisation
Pour plus de détails, consultez Contrôle de l'accès aux alias. |
Stratégie IAM (pour l'alias) |
Non |
Alias |
Aucune (lorsque vous contrôlez l'accès à l'alias) |
Politique clé (pour la KMS clé) |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
DeleteCustomKeyStore
|
IAMpolitique | Non |
|
|
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
DedriveSharedSecret
|
Stratégie de clé | Oui | KMSclé | Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Conditions des opérations de chiffrement : |
DescribeCustomKeyStores
|
IAMpolitique | Non |
|
|
|
Stratégie de clé |
Oui |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
DisconnectCustomKeyStore
|
IAMpolitique | Non |
|
|
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Conditions de rotation automatique des touches : |
|
Politique de clé |
Oui |
KMSclé |
Conditions des opérations de chiffrement Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Oui |
KMSclé |
Conditions des opérations de chiffrement Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Oui |
KMSclé Génère une paire de clés de données asymétriques qui est protégée par une clé de chiffrement KMS symétrique. |
Conditions pour les paires de clés de données : Conditions des opérations de chiffrement Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
GenerateDataKeyPairWithoutPlaintext
|
Stratégie de clé |
Oui |
KMSclé Génère une paire de clés de données asymétriques qui est protégée par une clé de chiffrement KMS symétrique. |
Conditions pour les paires de clés de données : Conditions des opérations de chiffrement Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
GenerateDataKeyWithoutPlaintext
|
Stratégie de clé |
Oui |
KMSclé |
Conditions des opérations de chiffrement Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
GenerateMac
|
Stratégie de clé | Oui | KMSclé | Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Conditions des opérations de chiffrement : |
|
IAMpolitique |
N/A |
|
Aucun |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Oui |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Oui |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : km : ExpirationModel |
|
IAMpolitique |
Non |
|
Aucun |
|
Stratégie de clé |
Oui |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
IAMpolitique |
Non |
|
Aucun |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
IAMpolitique |
Le principal spécifié doit être dans le compte local, mais l'opération renvoie des octrois dans tous les comptes. |
|
Aucun |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : |
Pour utiliser cette opération, l'appelant a besoin d'une autorisation sur deux KMS touches :
|
Stratégie de clé |
Oui |
KMSclé |
Conditions des opérations de chiffrement Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : |
Pour utiliser cette opération, l'appelant doit avoir les autorisations suivantes :
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : |
L'autorisation de retirer un octroi est déterminée principalement par l'octroi. Une politique seule ne peut pas autoriser l'accès à cette opération. Pour de plus amples informations, veuillez consulter Retrait et révocation d'octrois. |
IAMpolitique (Cette autorisation n'est pas effective dans une politique de clé.) |
Oui |
KMSclé |
Conditions du contexte de chiffrement : kms EncryptionContext : touche contextuelle Conditions d'octroi : Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Oui |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions : |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Politique de clé |
Oui |
KMSclé |
Conditions de signature et de vérification : km : RequestAliasConditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Conditions d'étiquetage : aws :RequestTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale) |
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Conditions d'étiquetage : aws :RequestTag/tag-key (clé de condition AWS globale) aws : TagKeys (clé de condition AWS globale) |
Pour utiliser cette opération, l'appelant doit avoir l'autorisation
Pour plus de détails, consultez Contrôle de l'accès aux alias. |
Stratégie IAM (pour l'alias) |
Non |
Alias |
Aucune (lorsque vous contrôlez l'accès à l'alias) |
Politique en matière de clés (pour les KMS clés) |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
|
UpdateCustomKeyStore
|
IAMpolitique | Non |
|
|
|
Stratégie de clé |
Non |
KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
Pour utiliser cette opération, l'appelant doit avoir l'autorisation |
Politique de clé |
Non | KMSclé |
Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Autres conditions |
|
Politique de clé |
Oui | KMSclé |
Conditions de signature et de vérification : km : RequestAliasConditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) |
VerifyMac
|
Stratégie de clé | Oui | KMSclé | Conditions relatives aux opérations KMS clés : aws :ResourceTag/tag-key (clé de condition AWS globale) Conditions des opérations de chiffrement : |
Descriptions des colonnes
Les colonnes de ce tableau fournissent les informations suivantes :
-
Actions et autorisations répertorie chaque AWS KMS API opération et l'autorisation qui l'autorise. Vous spécifiez l'opération dans l'élément
Action
d'une instruction de politique. -
Le type de politique indique si l'autorisation peut être utilisée dans une politique clé ou une IAM politique.
Key policy (Politique de clé) signifie que vous pouvez spécifier l'autorisation dans la politique de clé. Lorsque la politique clé contient l'énoncé de politique qui active IAM les politiques, vous pouvez spécifier l'autorisation dans une IAM stratégie.
IAMpolitique signifie que vous ne pouvez spécifier l'autorisation que dans une IAM politique.
-
Cross-account use (Utilisation inter-comptes) indique les opérations que les utilisateurs autorisés peuvent effectuer sur des ressources dans un autre Compte AWS.
Une valeur de Yes (Oui) signifie que les principaux peuvent effectuer l'opération sur des ressources dans un autre Compte AWS.
Une valeur de No (Non) signifie que les principaux peuvent effectuer l'opération uniquement sur des ressources dans leur propre Compte AWS.
Si vous accordez à un principal dans un compte différent une autorisation qui ne peut pas être utilisée sur une ressource inter-comptes, l'autorisation n'est pas effective. Par exemple, si vous TagResource autorisez un mandant d'un autre compte kms : à accéder à une KMS clé de votre compte, ses tentatives de taguer la KMS clé dans votre compte échoueront.
-
Resources répertorie les AWS KMS ressources auxquelles les autorisations s'appliquent. AWS KMS prend en charge deux types de ressources : une KMS clé et un alias. Dans une politique clé, la valeur de l'
Resource
élément est toujours*
, ce qui indique la KMS clé à laquelle la politique clé est attachée.Utilisez les valeurs suivantes pour représenter une AWS KMS ressource dans une IAM politique.
- KMSclé
-
Lorsque la ressource est une KMS clé, utilisez sa clé ARN. Pour obtenir de l'aide, veuillez consulter Trouvez l'identifiant et la clé ARN.
arn:
AWS_partition_name
:kms:AWS_Region
:AWS_account_ID
:key/key_ID
Par exemple :
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- Alias
-
Lorsque la ressource est un alias, utilisez son alias ARN. Pour obtenir de l'aide, veuillez consulter Trouvez le nom d'alias et l'alias ARN d'une KMS clé.
arn:
AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:alias/alias_name
Par exemple :
arn:aws:kms:us-west- 2:111122223333 : alias/ ExampleAlias
*
(astérisque)-
Lorsque l'autorisation ne s'applique pas à une ressource particulière (KMSclé ou alias), utilisez un astérisque (
*
).Dans une IAM politique d' AWS KMS autorisation, un astérisque dans l'
Resource
élément indique toutes les AWS KMS ressources (KMSclés et alias). Vous pouvez également utiliser un astérisque dans l'Resource
élément lorsque l' AWS KMS autorisation ne s'applique à aucune KMS clé ou alias en particulier. Par exemple, lorsque vous autorisezkms:CreateKey
ou refusez unekms:ListKeys
autorisation, vous devez définir l'Resource
élément sur*
.
-
AWS KMS les clés de AWS KMS condition répertorient les clés de condition que vous pouvez utiliser pour contrôler l'accès à l'opération. Vous spécifiez des conditions dans l'élément
Condition
d'une politique. Pour de plus amples informations, veuillez consulter AWS KMS clés de condition. Cette colonne inclut également les clés de condition AWS globales qui sont prises en charge par tous les AWS services AWS KMS, mais pas par tous.