AWS clés de condition globales - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS clés de condition globales

AWS définit des clés de condition globales, un ensemble de clés de conditions de politique pour tous les AWS services qui utilisent IAM pour le contrôle d'accès. AWS KMS prend en charge toutes les clés de condition globales. Vous pouvez les utiliser dans les politiques AWS KMS clés et les politiques IAM.

Par exemple, vous pouvez utiliser la clé de condition PrincipalArn globale aws : pour autoriser l'accès à une AWS KMS key (clé KMS) uniquement lorsque le principal de la demande est représenté par le nom de ressource Amazon (ARN) dans la valeur de la clé de condition. Pour prendre en charge le contrôle d'accès basé sur les attributs (ABAC) dans AWS KMS, vous pouvez utiliser la clé de condition globale aws :ResourceTag/tag-key dans une politique IAM afin d'autoriser l'accès aux clés KMS avec une balise particulière.

Pour éviter qu'un AWS service ne soit utilisé comme un sous-traitant confus dans une politique où le principal est un directeur deAWS service, vous pouvez utiliser les clés de condition aws:SourceArnou aws:SourceAccountglobales. Pour plus de détails, consultez Utilisation des clés de condition aws:SourceArn ou aws:SourceAccount.

Pour plus d'informations sur les clés de condition AWS globales, y compris les types de demandes dans lesquels elles sont disponibles, voir Clés contextuelles de conditionsAWS globales dans le guide de l'utilisateur IAM. Pour accéder à des exemples d'utilisation des clés de condition globale dans des politiques IAM, veuillez consulter Contrôle de l'accès aux demandes et Contrôle des clés de balise dans le Guide de l'utilisateur IAM.

Les rubriques suivantes fournissent des conseils spéciaux pour l'utilisation des clés de condition basées sur les adresses IP et les points de terminaison VPC.

Utilisation de la condition d'adresse IP dans les politiques avec autorisations AWS KMS

Vous pouvez l'utiliser AWS KMS pour protéger vos données dans un AWS service intégré. Mais soyez prudent lorsque vous spécifiez les opérateurs de condition d'adresse IP ou la clé de aws:SourceIp condition dans la même déclaration de politique qui autorise ou refuse l'accès à AWS KMS. Par exemple, la politique décrite dans AWS: Refuse l'accès à la AWS base de l'adresse IP source limite les AWS actions aux demandes provenant de la plage d'adresses IP spécifiée.

Envisagez le scénario suivant :

  1. Vous associez une politique telle que celle présentée à l'adresse AWSsuivante : Refuse l'accès à une identité IAM en AWS fonction de l'adresse IP source. Vous définissez la valeur de la clé de condition aws:SourceIp sur la plage d'adresses IP de la société de l'utilisateur. D'autres politiques permettant d'utiliser Amazon EBS, Amazon EC2 et AWS KMSsont attribuées à cette identité IAM.

  2. L'identité tente d'attacher un volume EBS chiffré à une instance EC2. Cette action échoue avec une erreur d'autorisation bien que l'utilisateur soit autorisé à utiliser l'ensemble des services concernés.

L'étape 2 échoue car la demande AWS KMS de déchiffrement de la clé de données chiffrée du volume provient d'une adresse IP associée à l'infrastructure Amazon EC2. Pour que l'opération aboutisse, la requête doit provenir de l'adresse IP de l'utilisateur d'origine. Étant donné que la politique à l'étape 1 refuse explicitement toutes les demandes provenant d'adresses IP autres que celles spécifiées, Amazon EC2 n'est pas autorisé à déchiffrer la clé de données chiffrée du volume EBS.

Par ailleurs, la clé de condition aws:sourceIP n'est pas en vigueur lorsque la demande provient d'un point de terminaison d'un VPC Amazon. Pour restreindre les demandes à un point de terminaison VPC, y compris à un point de terminaison VPCAWS KMS, utilisez les clés de condition aws:sourceVpce ou aws:sourceVpc. Pour plus d'informations, consultez Points de terminaison d'un VPC - Contrôle de l'utilisation de points de terminaison dans le manuel Guide d'utilisateur Amazon VPC.

Utilisation de conditions de point de terminaison d'un VPC dans des politiques avec des autorisations AWS KMS

AWS KMS prend en charge les points de terminaison Amazon Virtual Private Cloud (Amazon VPC) alimentés par. AWS PrivateLink Vous pouvez utiliser les clés de condition globales suivantes dans les politiques clés et les politiques IAM pour contrôler l'accès aux AWS KMS ressources lorsque la demande provient d'un VPC ou utilise un point de terminaison VPC. Pour plus de détails, veuillez consulter Utilisation d'un point de terminaison VPC dans une déclaration de politique.

  • aws:SourceVpc limite l'accès aux requêtes à partir du VPC spécifié.

  • aws:SourceVpce limite l'accès aux requêtes à partir du point de terminaison d'un VPC spécifié.

Si vous utilisez ces clés de condition pour contrôler l'accès aux clés KMS, vous risquez de refuser par inadvertance l'accès aux AWS services utilisés en votre AWS KMS nom.

Prenez soin d'éviter une situation comme dans l'exemple des clés de condition d'adresse IP. Si vous limitez les demandes de clé KMS à un point de terminaison VPC ou VPC, les appels AWS KMS provenant d'un service intégré, tel qu'Amazon S3 ou Amazon EBS, risquent d'échouer. Cela peut se produire même si la requête source provient au final du VPC ou du point de terminaison d'un VPC.