Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politique IAM
Dans cette section, vous trouverez des exemples de politiques IAM qui accordent des autorisations pour diverses actions AWS KMS .
Important
Certaines des autorisations figurant dans les politiques suivantes sont autorisées uniquement lorsque la politique de clé de la clé KMS les autorise également. Pour plus d’informations, consultez Référence des autorisations .
Pour obtenir de l'aide sur la rédaction et la mise en forme d'un document de politique JSON, veuillez consulter Référence de politique JSON IAM dans le Guide de l'utilisateur IAM.
Exemples
- Autoriser un utilisateur à afficher les clés KMS dans la AWS KMS console
- Autoriser un utilisateur à créer des clés KMS
- Permettre à un utilisateur de chiffrer et de déchiffrer avec n'importe quelle clé KMS dans un domaine spécifique Compte AWS
- Autoriser un utilisateur à chiffrer et déchiffrer avec n'importe quelle clé KMS dans une région et une région spécifiques Compte AWS
- Autoriser un utilisateur à chiffrer et déchiffrer des données avec des clés KMS spécifiques
- Empêcher un utilisateur de désactiver et de supprimer des clés KMS
Autoriser un utilisateur à afficher les clés KMS dans la AWS KMS console
La politique IAM suivante permet aux utilisateurs d'accéder à la console en lecture seule. AWS KMS Les utilisateurs disposant de ces autorisations peuvent voir toutes les clés KMS qu'ils Compte AWS contiennent, mais ils ne peuvent pas créer ou modifier de clés KMS.
Pour afficher les clés KMS sur les pages des clés gérées par le client Clés gérées par AWSet sur les pages des clés gérées par le clientListKeys, les principaux ont besoin des GetResources autorisations kms : ListAliases, kms : et tag :, même si les clés ne comportent pas de balises ni d'alias. Les autorisations restantes, en particulier kms : DescribeKey, sont requises pour afficher les colonnes facultatives du tableau des clés KMS et les données sur les pages détaillées des clés KMS. Les ListRoles autorisations iam : ListUsers et iam : sont requises pour afficher la politique clé dans l'affichage par défaut sans erreur. Pour consulter les données sur la page des magasins de clés personnalisés et les détails sur les clés KMS dans les magasins de clés personnalisés, les principaux ont également besoin de DescribeCustomKeyStores l'autorisation kms :.
Si vous limitez l'accès de la console d'un utilisateur à des clés KMS particulières, la console affiche une erreur pour chaque clé KMS qui n'est pas visible.
Cette politique inclut deux instructions de politique. L'élément Resource
dans la première instruction de politique accorde les autorisations spécifiées sur toutes les clés KMS dans toutes les régions du Compte AWS d'exemple. Les utilisateurs de la console n'ont pas besoin d'un accès supplémentaire, car la console AWS KMS
affiche uniquement les clés KMS dans le compte du principal. Cela est vrai même s'ils sont autorisés à afficher les clés KMS dans d'autres langues Comptes AWS. Les autorisations restantes AWS KMS et IAM nécessitent un "Resource": "*"
élément car elles ne s'appliquent à aucune clé KMS en particulier.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadOnlyAccessForAllKMSKeysInAccount", "Effect": "Allow", "Action": [ "kms:GetPublicKey", "kms:GetKeyRotationStatus", "kms:GetKeyPolicy", "kms:DescribeKey", "kms:ListKeyPolicies", "kms:ListResourceTags", "tag:GetResources" ], "Resource": "arn:aws:kms:*:111122223333:key/*" }, { "Sid": "ReadOnlyAccessForOperationsWithNoKMSKey", "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
Autoriser un utilisateur à créer des clés KMS
La politique IAM suivante permet à un utilisateur de créer tous les types de clés KMS. La valeur de l'Resource
élément est *
due au fait que l'CreateKey
opération n'utilise aucune AWS KMS ressource particulière (clés KMS ou alias).
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "kms:CreateKey", "Resource": "*" } }
Les principaux qui créent des clés peuvent avoir besoin de certaines autorisations associées.
-
kms : PutKeyPolicy — Les principaux
kms:CreateKey
autorisés peuvent définir la politique de clé initiale pour la clé KMS. Cependant, l'CreateKey
appelant doit disposer de l'PutKeyPolicyautorisation kms :, qui lui permet de modifier la politique des clés KMS, ou il doit spécifier leBypassPolicyLockoutSafetyCheck
paramètre deCreateKey
, ce qui n'est pas recommandé. L'appelantCreateKey
peut obtenir l'autorisationkms:PutKeyPolicy
pour la clé KMS depuis une politique IAM, ou il peut inclure cette autorisation dans la politique de clé de la clé KMS qu'il crée. -
kms : TagResource — Pour ajouter des balises à la clé KMS pendant l'
CreateKey
opération, l'CreateKey
appelant doit disposer de l'TagResourceautorisation kms : dans une politique IAM. L'inclusion de cette autorisation dans la politique de clé de la nouvelle clé KMS ne suffit pas. Cependant, si l'appelantCreateKey
inclutkms:TagResource
dans la politique de clé initiale, il peut ajouter des balises dans un appel séparé après la création de la clé KMS. -
kms : CreateAlias — Les principaux qui créent une clé KMS dans la AWS KMS console doivent disposer de l'CreateAliasautorisation kms : sur la clé KMS et sur l'alias. (La console effectue deux appels ; un à
CreateKey
et un àCreateAlias
). Vous devez fournir l'autorisation d'alias dans une politique IAM. Vous pouvez fournir l'autorisation de clé KMS dans une politique de clé ou une politique IAM. Pour plus de détails, veuillez consulter Contrôle de l'accès aux alias.
En outrekms:CreateKey
, la politique IAM suivante fournit des kms:TagResource
autorisations sur toutes les clés KMS du compte Compte AWS et des kms:CreateAlias
autorisations sur tous les alias du compte. Elle inclut également certaines autorisations utiles en lecture seule qui peuvent être fournies uniquement dans une politique IAM.
Cette politique IAM n'inclut pas l'autorisation kms:PutKeyPolicy
ou toute autre autorisation pouvant être définie dans une politique de clé. La définition de ces autorisations dans la politique de clé, où elles s'appliquent exclusivement à une clé KMS, est une bonne pratique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPermissionsForParticularKMSKeys", "Effect": "Allow", "Action": "kms:TagResource", "Resource": "arn:aws:kms:*:111122223333:key/*" }, { "Sid": "IAMPermissionsForParticularAliases", "Effect": "Allow", "Action": "kms:CreateAlias", "Resource": "arn:aws:kms:*:111122223333:alias/*" }, { "Sid": "IAMPermissionsForAllKMSKeys", "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } ] }
Permettre à un utilisateur de chiffrer et de déchiffrer avec n'importe quelle clé KMS dans un domaine spécifique Compte AWS
La politique IAM suivante permet à un utilisateur de chiffrer et de déchiffrer des données avec n'importe quelle clé KMS dans le 111122223333. Compte AWS
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt" ], "Resource": "arn:aws:kms:*:111122223333:key/*" } }
Autoriser un utilisateur à chiffrer et déchiffrer avec n'importe quelle clé KMS dans une région et une région spécifiques Compte AWS
La politique IAM suivante permet à un utilisateur de chiffrer et de déchiffrer des données avec n'importe quelle clé KMS Compte AWS 111122223333
dans la région de l'ouest des États-Unis (Oregon).
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-west-2:111122223333:key/*" ] } }
Autoriser un utilisateur à chiffrer et déchiffrer des données avec des clés KMS spécifiques
La politique IAM suivante permet à un utilisateur de chiffrer et de déchiffrer des données avec les deux clés KMS spécifiées dans l'élément Resource
. Lorsque vous spécifiez une clé KMS dans une instruction de politique IAM, vous devez utiliser l'ARN de clé de la clé KMS.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" ] } }
Empêcher un utilisateur de désactiver et de supprimer des clés KMS
La politique IAM suivante empêche un utilisateur de désactiver et de supprimer des clés KMS, même si une autre politique IAM ou une politique de clé accorde ces autorisations. Une politique qui refuse explicitement des autorisations se substitue à toutes les autres politiques, même à celles qui accordent explicitement les mêmes autorisations. Pour plus d'informations, voir Résolution des problèmes de clé d'accès.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "kms:DisableKey", "kms:ScheduleKeyDeletion" ], "Resource": "*" } }