Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

RBAC pour AWS KMS

PDF
RSS
Mode de mise au point
RBAC pour AWS KMS - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le contrôle d'accès basé sur les rôles (RBAC) est une stratégie d'autorisation qui fournit aux utilisateurs uniquement les autorisations nécessaires pour effectuer leurs tâches, et rien de plus. AWS KMS prend en charge le RBAC en vous permettant de contrôler l'accès à vos clés en spécifiant des autorisations détaillées sur l'utilisation des clés dans le cadre des politiques clés. Les politiques clés spécifient une ressource, une action, un effet, un principal et des conditions facultatives pour accorder l'accès aux clés.

Pour implémenter le RBAC dans AWS KMS, nous recommandons de séparer les autorisations pour les utilisateurs clés et les administrateurs principaux.

Key users

L'exemple de politique clé suivant permet au rôle ExampleUserRole IAM d'utiliser la clé KMS.

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

Vos utilisateurs principaux peuvent avoir besoin de moins d'autorisations que l'utilisateur dans cet exemple. Attribuez uniquement les autorisations dont l'utilisateur a besoin. Posez les questions suivantes pour affiner davantage les autorisations.

  • Quels sont les principaux IAM (rôles ou utilisateurs) qui ont besoin d'accéder à la clé ?

  • Quelles actions chaque directeur doit-il effectuer avec la clé ? Par exemple, le principal a-t-il uniquement besoin des autorisations de chiffrement et de signature ?

  • L'utilisateur est-il un être humain ou un AWS service ? S'il s'agit d'un AWS service, vous pouvez utiliser la clé de condition pour limiter l'utilisation des clés à un AWS service spécifique.

Key administrators

L'exemple de politique clé suivant permet au rôle ExampleAdminRole IAM d'administrer la clé KMS. 

{
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleAdminRole"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
    }

Vos administrateurs principaux peuvent avoir besoin de moins d'autorisations que l'administrateur dans cet exemple. N'attribuez que les autorisations dont vos principaux administrateurs ont besoin.

anchoranchor

L'exemple de politique clé suivant permet au rôle ExampleUserRole IAM d'utiliser la clé KMS.

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws: iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
  }

Vos utilisateurs principaux peuvent avoir besoin de moins d'autorisations que l'utilisateur dans cet exemple. Attribuez uniquement les autorisations dont l'utilisateur a besoin. Posez les questions suivantes pour affiner davantage les autorisations.

  • Quels sont les principaux IAM (rôles ou utilisateurs) qui ont besoin d'accéder à la clé ?

  • Quelles actions chaque directeur doit-il effectuer avec la clé ? Par exemple, le principal a-t-il uniquement besoin des autorisations de chiffrement et de signature ?

  • L'utilisateur est-il un être humain ou un AWS service ? S'il s'agit d'un AWS service, vous pouvez utiliser la clé de condition pour limiter l'utilisation des clés à un AWS service spécifique.

N'accordez aux utilisateurs que les autorisations dont ils ont besoin pour remplir leurs rôles. Les autorisations d'un utilisateur peuvent varier selon que la clé est utilisée dans des environnements de test ou de production. Si vous utilisez des autorisations moins restrictives dans certains environnements non liés à la production, mettez en œuvre un processus pour tester les politiques avant leur mise en production.

En savoir plus
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.