Contrôle de l'accès aux clés multi-régions - AWS Key Management Service
Notions de base sur les autorisations pour les clés multi-régionAutorisation des administrateurs et des utilisateurs de clés multi-régionAutoriser AWS KMS à synchroniser de clés multi-région

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès aux clés multi-régions

Vous pouvez utiliser des clés multi-région dans des scénarios de conformité, de reprise après sinistre et de sauvegarde qui seraient plus complexes avec les clés à région unique. Toutefois, étant donné que les propriétés de sécurité des clés multi-région sont significativement différentes de celles des clés à région unique, nous vous recommandons de faire preuve de prudence lorsque vous autorisez la création, la gestion et l'utilisation de clés multi-région.

Note

Les instructions de politique IAM existantes avec des caractères génériques dans le champ Resource s'appliquent désormais à la fois aux clés à région unique et multi-région. Pour les limiter aux clés KMS à région unique ou aux clés multirégionales, utilisez la clé de MultiRegion condition kms :.

Utilisez vos outils d'autorisation pour empêcher la création et l'utilisation de clés multi-région dans tous les scénarios où une clé à région unique suffira. Autoriser les principaux à répliquer une clé multi-région uniquement dans les Régions AWS qui l'exigent. Donnez l'autorisation pour les clés multi-région uniquement aux principaux qui en ont besoin et uniquement pour les tâches qui en ont besoin.

Vous pouvez utiliser des politiques de clé, des politiques IAM et des octrois pour permettre aux principaux IAM de gérer et d'utiliser des clés multi-région dans votre Compte AWS. Chaque clé multi-région est une ressource indépendante dotée d'un ARN de clé unique et d'une politique de clé. Vous devez établir et maintenir une stratégie de clé pour chaque clé et vous assurer que les stratégies IAM nouvelles et existantes mettent en œuvre votre stratégie d'autorisation.

Notions de base sur les autorisations pour les clés multi-région

Lors de la conception de politiques de clé et de politiques IAM pour les clés multi-région, tenez compte des principes suivants.

  • Politique de clé — Chaque clé multi-région est une ressource de clé KMS indépendante avec sa propre politique de clé. Vous pouvez appliquer la même politique de clé ou une politique de clé différente à chaque clé de l'ensemble des clés multi-région associées. Les politiques de clé ne sont pas des propriétés partagées des clés multi-région. AWS KMS ne copie ni ne synchronise les politiques de clé entre les clés multi-région associées.

    Lorsque vous créez une clé de réplica dans la console AWS KMS, celle-ci affiche la politique de clé actuelle de la clé principale à titre de commodité. Vous pouvez utiliser cette politique de clé, la modifier ou la supprimer et la remplacer. Mais même si vous acceptez la politique de clé principale inchangée, AWS KMS ne synchronise pas les politiques. Par exemple, si vous modifiez la politique de clé de la clé principale, la politique de clé de la clé de réplica reste la même.

  • Politique clé par défaut — Lorsque vous créez des clés multirégionales à l'aide ReplicateKey des opérations CreateKeyet, la politique clé par défaut est appliquée sauf si vous spécifiez une stratégie clé dans la demande. Il s'agit de la même politique de clé par défaut qui est appliquée aux clés à région unique.

  • Politiques IAM — Comme pour toutes les clés KMS, vous pouvez utiliser des politiques IAM pour contrôler l'accès aux clés multi-région uniquement lorsque la politique de clé le permet. Les politiques IAM s'appliquent à l'ensemble des Régions AWS par défaut. Cependant, vous pouvez utiliser des clés de condition, telles que aws : RequestedRegion, pour limiter les autorisations à une région particulière.

    Pour créer des clés principales et des clés de réplica, les principaux doivent avoir l'autorisation kms:CreateKey dans une politique IAM qui s'applique à la région où la clé est créée.

  • Octrois — Les octrois AWS KMS sont régionaux. Chaque octroi autorise l'ajout d'autorisations sur une clé KMS. Vous pouvez utiliser des octrois pour autoriser des autorisations sur une clé principale ou une clé de réplica multi-région. Mais vous ne pouvez pas utiliser un seul octroi pour autoriser des autorisations sur plusieurs clés KMS, même s'il s'agit de clés multi-région associées.

  • ARN de clé — Chaque clé multi-région a un ARN de clé unique. Les ARN de clé des clés multi-région associées ont les mêmes partition, compte et ID de clé, mais des régions différentes.

    Pour appliquer une instruction de politique IAM à une clé multi-région particulière, utilisez son ARN de clé ou un modèle d'ARN de clé qui inclut la région. Pour appliquer une instruction de politique IAM à toutes les clés multi-région associées, utilisez un caractère générique (*) dans l'élément Region de l'ARN, comme illustré dans l'exemple suivant.

    {
  "Effect": "Allow",  
  "Action": [
    "kms:Describe*",
    "kms:List*"
  ],
  "Resource": {
      "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
  }
}

    Pour appliquer une déclaration de politique à toutes les clés multirégionales de votre cléCompte AWS, vous pouvez utiliser la condition de MultiRegion politique kms : ou un modèle d'identification de clé incluant le mrk- préfixe distinctif.

  • Rôle lié à un service — Les principaux qui créent des clés primaires multirégionales doivent disposer de l'autorisation iam :. CreateServiceLinkedRole

    Pour synchroniser les propriétés partagées des clés multi-région associées, AWS KMS endosse un rôle lié à un service IAM. AWS KMS crée le rôle lié à un service dans le Compte AWS chaque fois que vous créez une clé principale multi-région. (Si le rôle existe, AWS KMS le recrée, ce qui n'a aucun effet nocif.) Le rôle est valable dans toutes les régions. Pour permettre AWS KMS de créer (ou de recréer) le rôle lié au service, les principaux qui créent des clés primaires multirégionales doivent disposer de l'autorisation iam :. CreateServiceLinkedRole

Autorisation des administrateurs et des utilisateurs de clés multi-région

Les principaux qui créent et gèrent des clés multi-région ont besoin des autorisations suivantes dans les régions principale et de réplica :

  • kms:CreateKey

  • kms:ReplicateKey

  • kms:UpdatePrimaryRegion

  • iam:CreateServiceLinkedRole

Création d'une clé principale

Pour créer une clé primaire multirégionale, le principal a besoin des CreateServiceLinkedRole autorisations kms : CreateKey et iam : dans le cadre d'une politique IAM effective dans la région de la clé primaire. Les principaux qui disposent de ces autorisations peuvent créer des clés à région unique et multi-région à moins que vous ne restreigniez leurs autorisations.

L'iam:CreateServiceLinkedRoleautorisation permet AWS KMS de créer le AWSServiceRoleForKeyManagementServiceMultiRegionKeysrôle pour synchroniser les propriétés partagées des clés multirégionales associées.

Par exemple, cette politique IAM permet à un principal de créer n'importe quel type de clé KMS.

{
  "Version": "2012-10-17",
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}

Pour autoriser ou refuser l'autorisation de créer des clés primaires multirégionales, utilisez la clé de MultiRegion condition kms :. Les valeurs valides sont true (clé multi-région) ou false (clé à région unique). Par exemple, l'instruction de politique IAM utilise une action Deny avec la clé de condition kms:MultiRegion pour empêcher les principaux de créer des clés multi-région. 

{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": "kms:MultiRegion": true
      }
  }
}

Réplication de clés

Pour créer une clé de réplica multi-région, le principal a besoin des autorisations suivantes :

  • kms : ReplicateKey autorisation dans la politique de clé de la clé primaire.

  • kms : CreateKey autorisation dans une politique IAM en vigueur dans la région de la clé de réplique.

Soyez prudent lorsque vous autorisez ces autorisations. Elles permettent aux principaux de créer des clés KMS et les politiques de clé qui autorisent leur utilisation. L'autorisation kms:ReplicateKey permet également le transfert d'éléments de clé au-delà des limites de la région dans AWS KMS.

Pour limiter les limites Régions AWS dans lesquelles une clé multirégionale peut être répliquée, utilisez la clé de ReplicaRegion condition kms :. Elle ne limite que l'autorisation kms:ReplicateKey. Sinon, elle n'a aucun effet. Par exemple, la politique de clé suivante autorise le principal à répliquer cette clé principale, mais uniquement dans les régions spécifiées.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}

Mise à jour de la région principale

Les principaux autorisés peuvent transformer une clé de réplica en clé principale, ce qui transforme l'ancienne clé principale en un réplica. Cette action s'appelle la mise à jour de la région principale. Pour mettre à jour la région principale, le principal a besoin d'une UpdatePrimaryRegion autorisation de km : dans les deux régions. Vous pouvez fournir ces autorisations dans une politique de clé ou une politique IAM.

  • kms:UpdatePrimaryRegion sur la clé principale. Cette autorisation doit être effective dans la région de clé principale.

  • kms:UpdatePrimaryRegion sur la clé de réplica. Cette autorisation doit être effective dans la région de clé de réplica.

Par exemple, la politique de clé suivante donne aux utilisateurs qui peuvent endosser le rôle Administrateur l'autorisation de mettre à jour la région principale de la clé KMS. Cette clé KMS peut être la clé principale ou une clé de réplica dans cette opération.

{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}

Pour restreindre la Régions AWS capacité d'héberger une clé primaire, utilisez la clé de PrimaryRegion condition kms :. Par exemple, l'instruction de politique IAM suivante permet principaux de mettre à jour la région principale des clés multi-région dans le Compte AWS, mais uniquement lorsque la nouvelle région principale est l'une des régions spécifiées.

{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}

Utilisation et gestion des clés multi-région

Par défaut, les principaux qui ont l'autorisation d'utiliser et de gérer les clés KMS dans un Compte AWS et une région ont également l'autorisation d'utiliser et de gérer des clés multi-région. Cependant, vous pouvez utiliser la clé de MultiRegion condition kms : pour autoriser uniquement les clés à région unique ou uniquement les clés multirégionales. Vous pouvez également utiliser la clé de MultiRegionKeyType condition kms : pour autoriser uniquement les clés primaires multirégionales ou uniquement les clés de réplique. Les deux clés de condition contrôlent l'accès à l'CreateKeyopération et à toute opération utilisant une clé KMS existante, telle que Encrypt ou EnableKey.

L'exemple suivant d'instruction de politique IAM utilise la clé de condition kms:MultiRegion pour empêcher les principaux d'utiliser ou de gérer une clé multi-région.

{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}

Cet exemple d'instruction de politique IAM utilise la condition kms:MultiRegionKeyType pour permettre aux principaux de planifier et d'annuler la suppression de clé, mais uniquement sur les clés de réplica multi-région.

{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}

Autoriser AWS KMS à synchroniser de clés multi-région

Afin de prendre en charge les clés multi-région, AWS KMS utilise un rôle lié à un service IAM. Ce rôle donne à AWS KMS les autorisations dont il a besoin pour synchroniser les propriétés partagées. Vous pouvez consulter l'SynchronizeMultiRegionKey CloudTrail événement qui enregistre la AWS KMS synchronisation des propriétés partagées dans vos AWS CloudTrail journaux.

À propos du rôle lié à un service pour les clés multi-région

Un rôle lié à un service est un rôle IAM qui accorde à un service AWS l'autorisation d'appeler d'autres services AWS en votre nom. Il est conçu pour faciliter l'utilisation des fonctions de plusieurs services AWS intégrés, sans avoir à créer et gérer des politiques IAM complexes.

Pour les clés multirégionales, AWS KMS crée le rôle AWSServiceRoleForKeyManagementServiceMultiRegionKeyslié au service avec la politique. AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy Cette politique donne au rôle l'autorisation kms:SynchronizeMultiRegionKey, qui lui permet de synchroniser les propriétés partagées des clés multi-région.

Étant donné que le rôle AWSServiceRoleForKeyManagementServiceMultiRegionKeyslié au service n'est fiable quemrk.kms.amazonaws.com, seul le rôle lié au service AWS KMS peut assumer ce rôle lié au service. Ce rôle est limité aux opérations dont AWS KMS a besoin pour synchroniser les propriétés partagées multi-région. Aucune autre autorisation n'est accordée à AWS KMS. Par exemple, AWS KMS n'a pas l'autorisation de créer, répliquer ou supprimer des clés KMS.

Pour de plus amples informations sur l'utilisation des rôles liés à un service par les services AWS, veuillez consulter Utilisation des rôles liés à un service dans le Guide de l'utilisateur IAM.

Création du rôle lié à un service

AWS KMScrée automatiquement le rôle AWSServiceRoleForKeyManagementServiceMultiRegionKeyslié au service dans votre Compte AWS lorsque vous créez une clé multirégionale, si le rôle n'existe pas déjà. Vous ne pouvez pas créer ou recréer directement ce rôle lié à un service.

Modifier la description du rôle lié à un service

Vous ne pouvez pas modifier le nom du rôle ni les déclarations de politique du rôle AWSServiceRoleForKeyManagementServiceMultiRegionKeyslié à un service, mais vous pouvez modifier la description du rôle. Pour de plus amples informations, veuillez consulter Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Supprimer le rôle lié à un service

AWS KMSne supprime pas le rôle AWSServiceRoleForKeyManagementServiceMultiRegionKeyslié au service de votre compte Compte AWS et vous ne pouvez pas le supprimer. Cependant, AWS KMS n'assume pas le AWSServiceRoleForKeyManagementServiceMultiRegionKeysrôle et n'utilise aucune de ses autorisations, sauf si vous avez des clés multirégionales dans votre région Compte AWS et.