Examen des octrois - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen des octrois

Les octrois sont des mécanismes avancés de spécification d'autorisations que vous ou un service AWS intégré à AWS KMS pouvez utiliser pour spécifier quand et comment une clé KMS peut être utilisée. Les octrois sont attachés à une clé KMS et chaque octroi contient le principal qui reçoit l'autorisation d'utiliser la clé KMS et la liste des opérations autorisées. Les octrois représentent une alternative à la politique de clé et sont utiles pour des cas d'utilisation spécifiques. Pour plus d’informations, consultez Octrois dans AWS KMS.

Pour obtenir une liste des autorisations pour une clé KMS, utilisez l'AWS KMSListGrantsopération. Vous pouvez examiner les octrois définis pour une clé KMS afin de déterminer qui a actuellement accès à la clé KMS pour l'utiliser via ces octrois. Par exemple, ce qui suit est une représentation JSON d'un octroi qui a été obtenu à partir de la commande list-grants dans l'AWS CLI.

{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}

Pour identifier qui a accès à la clé KMS pour l'utiliser, recherchez l'élément "GranteePrincipal". Dans l'exemple précédent, le principal bénéficiaire est un utilisateur du rôle assumé associé à l'instance EC2 i-5d476fab. L'infrastructure EC2 utilise ce rôle pour attacher le volume EBS chiffré vol-5cccfb4e à l'instance. Dans ce cas, le rôle d'infrastructure EC2 a l'autorisation d'utiliser la clé KMS, parce que vous avez créé précédemment un volume EBS chiffré protégé par cette clé KMS. Puis, vous avez attaché le volume à une instance EC2.

Ce qui suit est un autre exemple de représentation JSON d'un octroi qui a été obtenu à partir de la commande list-grants dans l'AWS CLI. Dans l'exemple suivant, le principal bénéficiaire est un autre Compte AWS.

{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}