Utilisation des rôles liés aux services pour AWS KMS - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des rôles liés aux services pour AWS KMS

AWS Key Management Service utilise des rôles AWS Identity and Access Management (IAM) liés à un service. Un rôle lié à un service est un type unique de rôle IAM lié directement à AWS KMS. Les rôles liés à un service sont définis par AWS KMS et comprennent toutes les autorisations nécessaires au service pour appeler d'autres services AWS en votre nom.

Un rôle lié à un service permet d'utiliser AWS KMS plus facilement, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. AWS KMS définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul AWS KMS peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Vos ressources AWS KMS sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM et recherchez les services où Oui figure dans la colonne Rôle lié à un service. Choisissez un Yes (oui) ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations des rôles liés à un service pour les magasins de clés personnalisés AWS KMS

AWS KMSutilise un rôle lié à un service nommé AWSServiceRoleForKeyManagementServiceCustomKeyStorespour prendre en charge les magasins de clés personnalisés. Ce rôle lié à un service accorde à AWS KMS l'autorisation d'afficher vos clusters AWS CloudHSM et de créer l'infrastructure réseau pour prendre en charge une connexion entre votre magasin de clés personnalisé et son clusterAWS CloudHSM. AWS KMS crée ce rôle uniquement lorsque vous créez un magasin de clés personnalisé. Vous ne pouvez pas créer directement ce rôle lié à un service.

Le rôle lié à un service AWSServiceRoleForKeyManagementServiceCustomKeyStores approuve cks.kms.amazonaws.com pour qu'il endosse le rôle. Par conséquent, uniquement AWS KMS peut endosser ce rôle lié à un service.

Les autorisations du rôle sont limitées aux actions exécutées par AWS KMS pour connecter un magasin de clés personnalisé à un cluster AWS CloudHSM. Aucune autre autorisation n'est accordée à AWS KMS. Par exemple, AWS KMS n'a pas l'autorisation de créer, gérer ou supprimer vos clusters AWS CloudHSM, vos HSM ou vos sauvegardes.

Pour plus d'informations sur le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStores, y compris la liste des autorisations et des instructions pour afficher le rôle, modifier sa description, le supprimer et le faire recréer automatiquement par AWS KMS, consultez Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2.

Autorisations des rôles liés à un service pour les clés multi-région AWS KMS

AWS KMSutilise un rôle lié à un service nommé AWSServiceRoleForKeyManagementServiceMultiRegionKeyspour prendre en charge les clés multirégionales. Ce rôle lié à un service accorde à AWS KMS l'autorisation de synchroniser les changements des éléments de clé d'une clé principale multi-région avec les clés de réplica. AWS KMS crée ce rôle uniquement lorsque vous créez une clé principale multi-région. Vous ne pouvez pas créer directement ce rôle lié à un service.

Le rôle lié à un service AWSServiceRoleForKeyManagementServiceMultiRegionKeys approuve mrk.kms.amazonaws.com pour qu'il endosse le rôle. Par conséquent, uniquement AWS KMS peut endosser ce rôle lié à un service. Les autorisations du rôle sont limitées aux actions exécutées par AWS KMS pour synchroniser les éléments de clé dans les clés multi-région associées. Aucune autre autorisation n'est accordée à AWS KMS.

Pour plus d'informations sur le rôle AWSServiceRoleForKeyManagementServiceMultiRegionKeys, y compris la liste des autorisations et des instructions pour afficher le rôle, modifier sa description, le supprimer et le faire recréer automatiquement par AWS KMS, consultez Autorisation de synchronisation AWS KMS des clés multirégionales.

Mises à jour AWS KMS vers des politiques gérées par AWS

Consultez le détail des mises à jour des politiques gérées par AWS pour AWS KMS depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page AWS KMS Historique du document.

Modification Description Date

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Mise à jour de la politique existante

AWS KMSa ajouté les ec2:DescribeNetworkInterfaces autorisations ec2:DescribeVpcsec2:DescribeNetworkAcls, et pour surveiller les modifications apportées au VPC qui contient votre AWS CloudHSM cluster afin de AWS KMS pouvoir fournir des messages d'erreur clairs en cas de défaillance.

10 novembre 2023

AWS KMS a démarré le suivi des modifications

AWS KMS a commencé à suivre les modifications pour ses politiques gérées par AWS.

10 novembre 2023