AWS clés de condition globales - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS clés de condition globales

AWS définit des clés de condition globales, un ensemble de clés de conditions de politique pour tous les AWS services utilisés IAM pour le contrôle d'accès. AWS KMS prend en charge toutes les clés de condition globales. Vous pouvez les utiliser dans des politiques et des IAM politiques AWS KMS clés.

Par exemple, vous pouvez utiliser la clé de condition PrincipalArn globale aws : pour autoriser l'accès à une AWS KMS key (KMSclé) uniquement lorsque le principal de la demande est représenté par le nom de ressource Amazon (ARN) dans la valeur de la clé de condition. Pour prendre en charge le contrôle d'accès basé sur les attributs (ABAC) dans AWS KMS, vous pouvez utiliser la clé de condition globale aws :ResourceTag/tag-key dans une IAM politique afin d'autoriser l'accès aux KMS clés associées à une balise particulière.

Pour éviter qu'un AWS service ne soit utilisé comme une source de confusion dans une politique où le directeur est un directeur de AWS service, vous pouvez utiliser le aws:SourceArn ou aws:SourceAccountclés de condition globales. Pour plus de détails, consultez Utilisation des clés de condition aws:SourceArn ou aws:SourceAccount.

Pour plus d'informations sur les clés de condition AWS globales, y compris les types de demandes dans lesquels elles sont disponibles, voir Clés contextuelles de conditions AWS globales dans le guide de IAM l'utilisateur. Pour des exemples d'utilisation de clés de condition globales dans IAM les politiques, voir Contrôle de l'accès aux demandes et Contrôle des clés de balise dans le guide de IAM l'utilisateur.

Les rubriques suivantes fournissent des conseils spécifiques sur l'utilisation des clés de condition basées sur les adresses IP et les VPC points de terminaison.

Utilisation de la condition d'adresse IP dans les politiques avec autorisations AWS KMS

Vous pouvez l'utiliser AWS KMS pour protéger vos données dans le cadre d'un AWS service intégré. Mais soyez prudent lorsque vous spécifiez les opérateurs de condition d'adresse IP ou la clé de aws:SourceIp condition dans la même déclaration de politique qui autorise ou refuse l'accès à AWS KMS. Par exemple, la politique décrite dans AWS: Refuse l'accès à la AWS base de l'adresse IP source limite les AWS actions aux demandes provenant de la plage d'adresses IP spécifiée.

Envisagez le scénario suivant :

  1. Vous associez une politique telle que celle présentée à l'adresse AWS suivante : Refuse l'accès à une IAM identité en AWS fonction de l'adresse IP source. Vous définissez la valeur de la clé de condition aws:SourceIp sur la plage d'adresses IP de la société de l'utilisateur. Cette IAM identité est associée à d'autres politiques qui lui permettent d'utiliser Amazon EBSEC2, Amazon et AWS KMS.

  2. L'identité tente d'attacher un EBS volume chiffré à une EC2 instance. Cette action échoue avec une erreur d'autorisation bien que l'utilisateur soit autorisé à utiliser l'ensemble des services concernés.

L'étape 2 échoue car la demande AWS KMS de déchiffrement de la clé de données cryptée du volume provient d'une adresse IP associée à l'EC2infrastructure Amazon. Pour que l'opération aboutisse, la requête doit provenir de l'adresse IP de l'utilisateur d'origine. Étant donné que la politique de l'étape 1 refuse explicitement toutes les demandes provenant d'adresses IP autres que celles spécifiées, Amazon EC2 n'est pas autorisé à déchiffrer la clé de données cryptée du EBS volume.

De plus, la clé de aws:sourceIP condition n'est pas efficace lorsque la demande provient d'un point de VPCterminaison Amazon. Pour limiter les demandes à un VPC point de terminaison, y compris un AWS KMS VPCpoint de terminaison, utilisez les clés de aws:sourceVpc condition aws:sourceVpce ou. Pour plus d'informations, consultez VPCEndpoints - Controlling the Use of Endpoints dans le guide de VPCl'utilisateur Amazon.

Utilisation des conditions du point de VPC terminaison dans les politiques avec AWS KMS autorisations

AWS KMS prend en charge les points de terminaison Amazon Virtual Private Cloud (AmazonVPC) alimentés par AWS PrivateLink. Vous pouvez utiliser les clés de condition globales suivantes dans les politiques clés et les IAM politiques pour contrôler l'accès aux AWS KMS ressources lorsque la demande provient d'un point de terminaison VPC ou utilise un VPC point de terminaison. Pour plus de détails, consultez Utiliser des VPC points de terminaison pour contrôler l'accès aux ressources AWS KMS.

  • aws:SourceVpclimite l'accès aux demandes provenant de la source spécifiéeVPC.

  • aws:SourceVpcelimite l'accès aux demandes provenant du point de VPC terminaison spécifié.

Si vous utilisez ces clés de condition pour contrôler l'accès aux KMS clés, vous risquez de refuser par inadvertance l'accès aux AWS services utilisés en votre AWS KMS nom.

Prenez soin d'éviter une situation comme dans l'exemple des clés de condition d'adresse IP. Si vous limitez les demandes de KMS clé à un VPC terminal VPC ou à un point de terminaison, les appels AWS KMS provenant d'un service intégré, tel qu'Amazon S3 ou AmazonEBS, risquent d'échouer. Cela peut se produire même si la demande source provient finalement du point de VPC terminaison VPC ou de celui-ci.