Contrôle de l'accès à une suppression de clé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès à une suppression de clé

Si vous utilisez des politiques IAM pour accorder des autorisations AWS KMS, toutes les identités IAM qui disposent d'un accès administrateur AWS ("Action": "*") ou d'un accès complet AWS KMS ("Action": "kms:*") sont déjà autorisées à planifier et annuler une suppression de clé pour les clés KMS. Pour permettre aux administrateurs de clés de planifier et d'annuler la suppression des clés dans la politique de clé, utilisez la console AWS KMS ou l'API AWS KMS.

En général, seuls les administrateurs de clés sont autorisés à planifier ou à annuler la suppression des clés. Vous pouvez toutefois accorder ces autorisations à d'autres identités IAM en ajoutant les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion à la politique de clé ou à une politique IAM. Vous pouvez également utiliser la clé de kms:ScheduleKeyDeletionPendingWindowInDayscondition pour restreindre davantage les valeurs que les principaux peuvent spécifier dans le PendingWindowInDays paramètre d'une ScheduleKeyDeletiondemande.

Autoriser les administrateurs de clés à planifier et annuler une suppression de clé (console)

Autoriser les administrateurs de clés à planifier et annuler une suppression de clé.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Choisissez l'alias ou l'ID de clé de la clé KMS dont vous voulez modifier les autorisations.

  5. Choisissez l'onglet Key policy (Politique de clé).

  6. L'étape suivante diffère en ce qui concerne l'affichage par défaut et l'affichage des politiques de votre politique de clé. La vue par défaut n'est disponible que si vous utilisez la politique de clé de console par défaut. Dans le cas contraire, seul l'affichage des politiques est disponible.

    Lorsque la vue par défaut est disponible, un bouton Switch to policy view (Passer à la vue de politique) ou Switch to default view (Passer à la vue par défaut) apparaît dans l'onglet Key policy (Politique de clé).

    • Dans la vue par défaut :

      1. Sous Key deletion (Suppression de clé), sélectionnez Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

    • Dans la vue de politique :

      1. Choisissez Edit (Modifier).

      2. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion à l'élément Action.

        { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
      3. Sélectionnez Enregistrer les modifications.

Autoriser les administrateurs de clés à planifier et à annuler la suppression de clés (AWS CLI)

Vous pouvez utiliser AWS Command Line Interface pour ajouter des autorisations pour la planification et l'annulation d'une suppression de clé.

Pour ajouter une autorisation pour planifier et annuler une suppression de clé
  1. Utilisez la commande aws kms get-key-policy pour récupérer la politique de clé existante, puis enregistrez le document de politique dans un fichier.

  2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations kms:ScheduleKeyDeletion et kms:CancelKeyDeletion. L'exemple suivant montre une déclaration de politique avec les deux autorisations suivantes :

    { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
  3. Utilisez la commande aws kms put-key-policy pour appliquer la politique de clé à la clé KMS.