Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez vous connecter AWS KMS via le point de terminaison VPC à l'aide d'un AWS SDK, du AWS CLI ou. AWS Tools for PowerShell Pour spécifier le point de terminaison VPC, utilisez son nom DNS.
Par exemple, cette commande list-keys utilise le paramètre endpoint-url pour indiquer le point de terminaison VPC. Pour utiliser une commande comme celle-ci, remplacez l'exemple d'ID de point de terminaison VPC par celui de votre compte.
$aws kms list-keys --endpoint-urlhttps://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
- Autorisations requises
-
Pour qu'une AWS KMS demande utilisant un point de terminaison VPC aboutisse, le principal a besoin d'autorisations provenant de deux sources :
-
Une politique de clé, une politique IAM ou un octroi doivent accorder au principal l'autorisation d'appeler l'opération sur la ressource (clé KMS ou alias).
-
Une politique de point de terminaison d'un VPC doit accorder au principal l'autorisation d'utiliser le point de terminaison pour effectuer la demande.
Par exemple, une politique de clé peut accorder à un principal l'autorisation d'appeler Decrypt sur une clé KMS particulière. Toutefois, la politique de point de terminaison d'un VPC peut ne pas permettre à ce principal d'appeler
Decryptsur cette clé KMS à l'aide du point de terminaison.Une politique de point de terminaison VPC peut également autoriser un principal à utiliser le point de terminaison pour appeler certaines DisableKeyclés KMS. Mais si le principal ne dispose pas de ces autorisations provenant d'une politique de clé, d'une politique IAM ou d'un octroi, la demande échoue.
Vous pouvez créer une politique de point de terminaison VPC lorsque vous créez votre point de terminaison, et vous pouvez modifier la politique de point de terminaison d'un VPC à tout moment. Utilisez la console de gestion VPC ou les opérations CreateVpcEndpointor ModifyVpcEndpoint. Vous pouvez également créer et modifier une politique de point de terminaison VPC à l'aide d'un AWS CloudFormation modèle. Pour obtenir de l'aide sur l'utilisation de la console de gestion de VPC, veuillez consulter Créer un point de terminaison d'interface et Modification d'un point de terminaison d'interface dans le AWS PrivateLink Guide .
-
- Noms d'hôtes privés
-
Si vous avez activé les noms d'hôte privés lorsque vous avez créé votre point de terminaison VPC, vous n'avez pas besoin de spécifier l'URL de point de terminaison VPC dans vos commandes de CLI ou dans la configuration de l'application. Le nom d'hôte DNS AWS KMS standard est résolu vers votre point de terminaison d'un VPC. Le AWS CLI et SDKs utilisez ce nom d'hôte par défaut, afin que vous puissiez commencer à utiliser le point de terminaison VPC pour vous connecter à AWS KMS un point de terminaison régional sans rien modifier dans vos scripts et applications.
Pour utiliser des noms d'hôte privés, les attributs
enableDnsHostnamesetenableDnsSupportde votre VPC doivent avoir la valeurtrue. Pour définir ces attributs, utilisez l'ModifyVpcAttributeopération. Pour plus d'informations, veuillez consulter Afficher et mettre à jour les attributs DNS pour votre VPC dans le Guide de l'utilisateur Amazon VPC.
