Contrôle de l'accès aux clés KMS HMAC - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès aux clés KMS HMAC

Pour contrôler l'accès à une clé KMS HMAC, vous utilisez une politique de clé, requise pour chaque clé KMS. Vous pouvez également utiliser des politiques IAM et des octrois.

La politique de clé par défaut pour les clés HMAC créées dans la console AWS KMS donne aux utilisateurs de clé l'autorisation d'appeler les opérations GenerateMac et VerifyMac. Toutefois, il ne tient pas compte de l'instruction de politique de clé visant à utiliser des octrois avec des services AWS. Si vous créez des clés HMAC à l'aide de l'opération CreateKey, vous devez spécifier ces autorisations dans la politique de clé ou dans une politique IAM.

Vous pouvez utiliser des clés de condition globales AWS et des clés de condition AWS KMS pour affiner et limiter les autorisations aux clés HMAC. Par exemple, vous pouvez utiliser la clé de condition kms:ResourceAliases pour contrôler l'accès aux opérations AWS KMS basées sur les alias associés à une clé HMAC. Les conditions de politique AWS KMS suivantes sont utiles pour les politiques relatives aux clés HMAC.

  • Utilisation d'une clé de condition kms:MacAlgorithm pour limiter les algorithmes que les principaux peuvent demander lorsqu'ils appellent les opérations GenerateMac et VerifyMac. Par exemple, vous pouvez autoriser les principaux à appeler les opérations GenerateMac, mais uniquement lorsque l'algorithme MAC de la demande est HMAC_SHA_384.

  • Utilisation d'une clé de condition kms:KeySpec pour autoriser ou empêcher les principaux de créer certains types de clés HMAC. Par exemple, pour autoriser les principaux à créer uniquement des clés HMAC, vous pouvez autoriser l'CreateKeyopération, mais utiliser la kms:KeySpec condition pour n'autoriser que les clés dotées d'une spécification de HMAC_384 clé.

    Vous pouvez également utiliser la clé de condition kms:KeySpec pour contrôler l'accès aux autres opérations sur une clé KMS en fonction de la spécification de clé. Par exemple, vous pouvez autoriser les principaux à planifier et à annuler la suppression de clés uniquement sur les clés KMS avec une spécification de clé HMAC_256.

  • Utilisation de la clé de condition kms:KeyUsage pour autoriser ou empêcher les principaux de créer des clés HMAC. Par exemple, pour autoriser les principaux à créer uniquement des clés HMAC, vous pouvez autoriser l'CreateKeyopération, mais utiliser la kms:KeyUsage condition pour autoriser uniquement les clés utilisant une GENERATE_VERIFY_MAC clé.

    Vous pouvez également utiliser la clé de condition kms:KeyUsage pour contrôler l'accès aux autres opérations sur une clé KMS en fonction de l'utilisation de la clé. Par exemple, vous pouvez autoriser les principaux à activer et à désactiver uniquement sur les clés KMS avec une utilisation de la clé GENERATE_VERIFY_MAC.

Vous pouvez également créer des octrois pour les opérations GenerateMac et VerifyMac, qui sont des opérations d'octroi. Toutefois, vous ne pouvez pas utiliser une contrainte d'octroi de contexte de chiffrement dans un octroi pour une clé HMAC. Le format de balise HMAC ne prend pas en charge les valeurs du contexte de chiffrement.