Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politique gérée pour les utilisateurs expérimentés
Vous pouvez utiliser une politique gérée par AWSKeyManagementServicePowerUser pour accorder aux principaux IAM de votre compte, les autorisations d'un utilisateur avec pouvoir. Les utilisateurs expérimentés peuvent créer des clés KMS, utiliser et gérer les clés KMS qu'ils créent et afficher toutes les clés KMS et les identités IAM. Les principals qui ont la politique gérée AWSKeyManagementServicePowerUser peuvent également obtenir des autorisations d'autres sources, notamment des politiques de clé, d'autres politiques IAM et des octrois.
AWSKeyManagementServicePowerUserest une politique IAM AWS gérée. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS
gérées dans le guide de l'utilisateur IAM.
Note
Dans cette politique, les autorisations spécifiques à une clé KMS, telles que kms:TagResource etkms:GetKeyRotationStatus, ne sont efficaces que lorsque la politique clé pour cette clé KMS autorise explicitement l' Compte AWS utilisation de politiques IAM pour contrôler l'accès à la clé. Pour déterminer si une autorisation est spécifique à une clé KMS, consultez AWS KMS autorisations et recherchez une valeur de Clé KMS dans la colonne Ressources.
Cette politique accorde à l'utilisateur expérimenté les autorisations sur n'importe quelle clé KMS avec une politique de clé qui permet l'opération. Pour les autorisations entre comptes, telles que kms:DescribeKey et kms:ListGrants, cela peut inclure des clés KMS dans des Comptes AWS non approuvés. Pour plus d'informations, consultez Bonnes pratiques pour les politiques IAM et Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS. Pour déterminer si une autorisation est valide sur les clés KMS dans d'autres comptes, consultez AWS KMS autorisations et recherchez la valeur Oui dans la colonne Utilisation inter-comptes.
Pour permettre aux principaux d'accéder à la AWS KMS console sans erreur, ils ont besoin de la balise : GetResources permission, qui n'est pas incluse dans la AWSKeyManagementServicePowerUser politique. Vous pouvez accorder cette autorisation dans une politique IAM distincte.
La politique IAM AWSKeyManagementServicePowerUser
-
Autorise les principals à créer des clés KMS. Étant donné que ce processus inclut la définition de la politique de clé, les utilisateurs expérimentés peuvent se donner l'autorisation d'utiliser et de gérer les clés KMS qu'ils créent.
-
Autorise les principals à créer et supprimer des alias et des balises sur toutes les clés KMS. La modification d'une balise ou d'un alias peut autoriser ou interdire l'utilisation et la gestion de la clé KMS. Pour plus de détails, veuillez consulter ABAC pour AWS KMS.
-
Permet aux principals d'obtenir des informations détaillées sur toutes les clés KMS, y compris leur ARN de clé, leur configuration de chiffrement, leur politique de clé, leurs alias, leurs balises et leur statut de rotation.
-
Permet aux principals de répertorier les utilisateurs, les groupes et les rôles IAM.
-
Cette politique n'autorise pas les principals à utiliser ou à gérer des clés KMS qu'ils n'ont pas créées. Cependant, ils peuvent modifier les alias et les balises sur toutes les clés KMS, ce qui peut leur autoriser ou leur refuser l'autorisation d'utiliser ou de gérer une clé KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
