Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
politique de clé par défaut
Lorsque vous créez une clé KMS, vous pouvez spécifier la politique de clé pour la nouvelle clé KMS. Si vous n'en fournissez pas, AWS KMS créez-en un pour vous. La politique de clé par défaut AWS KMS utilisée varie selon que vous créez la clé dans la AWS KMS console ou que vous utilisez l' AWS KMS API.
- politique de clé par défaut lorsque vous créez une clé KMS par programmation
-
Lorsque vous créez une clé KMS par programmation avec l'AWS KMS API (y compris en utilisant le AWS Command Line Interfaceou Outils AWS pour PowerShell) AWS SDKs
, et que vous ne spécifiez aucune politique de clé, AWS KMS applique une politique de clé par défaut très simple. Cette politique de clé par défaut comporte une déclaration de politique qui autorise le Compte AWS propriétaire de la clé KMS à utiliser les politiques IAM pour autoriser l'accès à toutes les AWS KMS opérations sur la clé KMS. Pour plus d'informations sur cette instruction de politique, consultez la rubrique Autorise l'accès au Compte AWS et active les politiques IAM.. - Politique de clé par défaut lorsque vous créez une clé KMS avec AWS Management Console
-
Lorsque vous créez une clé KMS avec le AWS Management Console, la politique clé commence par la déclaration de politique qui autorise l'accès aux politiques IAM Compte AWS et les active. La console ajoute ensuite une instruction d'administrateur clé, une déclaration d'utilisateur clé et (pour la plupart des types de clés) une instruction qui permet aux principaux d'utiliser la clé KMS avec d'autres AWS services. Vous pouvez utiliser les fonctionnalités de la AWS KMS console pour spécifier les utilisateurs IAM IAMroles, et Comptes AWS qui sont les principaux administrateurs et ceux qui le sont (ou les deux).
Autorisations
Autorise l'accès au Compte AWS et active les politiques IAM.
L'instruction de politique de clé par défaut suivante est extrêmement importante.
-
Il donne au propriétaire Compte AWS de la clé KMS un accès complet à la clé KMS.
Contrairement aux autres politiques relatives aux AWS ressources, une politique AWS KMS clé n'autorise pas automatiquement le compte ni aucune de ses identités. Pour accorder l'autorisation aux administrateurs de compte, la politique de clé doit inclure une instruction explicite qui fournit cette autorisation, comme celle-ci.
-
Celle permet au compte d'utiliser des politiques IAM pour autoriser l'accès à la clé KMS, en plus de la politique de clé.
Sans cette autorisation, les politiques IAM qui autorisent l'accès à la clé sont inefficaces, bien que celles qui refusent l'accès à la clé soient toujours efficaces.
-
Cela réduit le risque que la clé devienne ingérable en accordant une autorisation de contrôle d'accès aux administrateurs du compte, y compris l'utilisateur racine du compte, qui ne peut pas être supprimé.
L'instruction de politique de clé suivante est la politique de clé par défaut complète pour les clés KMS créées par programmation. Il s'agit de la première déclaration de politique de la politique de clé par défaut pour les clés KMS créées dans la AWS KMS console.
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }
- Autorise les politiques IAM à autoriser l'accès à la clé KMS.
-
La déclaration de politique clé présentée ci-dessus donne au Compte AWS détenteur de la clé l'autorisation d'utiliser les politiques IAM, ainsi que les politiques clés, pour autoriser toutes les actions (
kms:*) sur la clé KMS.Le principal dans cette instruction de politique de clé est le principal du compte, qui est représenté par un ARN au format suivant :
arn:aws:iam::. Le principal du compte représente le AWS compte et ses administrateurs.account-id:rootLorsque le principal d'une instruction de politique de clé correspond au principal du compte, cette instruction n'autorise aucun principal IAM à utiliser la clé KMS. Au lieu de cela, elle permet au compte d'utiliser des politiques IAM pour déléguer les autorisations spécifiées dans l'instruction de politique. Cette instruction de politique de clé par défaut permet au compte d'utiliser des politiques IAM pour déléguer l'autorisation pour toutes les actions (
kms:*) sur la clé KMS. - réduit le risque que la clé KMS devienne ingérable.
-
Contrairement aux autres politiques relatives aux AWS ressources, une politique AWS KMS clé n'autorise pas automatiquement le compte ou l'un de ses principaux responsables. Pour accorder l'autorisation à un principal, y compris le principal du compte, vous devez utiliser une instruction de politique de clé qui fournit explicitement l'autorisation. Vous n'êtes pas l'obligation de donner accès à la clé KMS au principal du compte ou à tout autre principal. Cependant, donner accès au principal du compte vous permet d'éviter que la clé ne devienne ingérable.
Par exemple, supposons que vous créez une politique de clé qui donne à un seul utilisateur l'accès à la clé KMS. Si vous supprimez ensuite cet utilisateur, la clé devient ingérable et vous devez contacter le support AWS
pour retrouver l'accès à la clé KMS. La déclaration de politique clé présentée ci-dessus autorise le contrôle de la clé du compte principal, qui représente lui-même Compte AWS et ses administrateurs, y compris l'utilisateur root du compte. L'utilisateur racine du compte est le seul principal qui ne peut pas être supprimé, sauf si vous supprimez le Compte AWS. Conformément aux bonnes pratiques IAM, il est déconseillé d'agir au nom de l'utilisateur racine du compte, sauf en cas d'urgence. Toutefois, vous devrez peut-être agir en tant qu'utilisateur racine du compte si vous supprimez tous les autres utilisateurs et rôles ayant accès à la clé KMS.
Autorise les administrateurs de clés à administrer la clé KMS
La politique de clé par défaut créée par la console vous permet de choisir des utilisateurs et des rôles IAM dans le compte et d'en faire des administrateurs de clé. Cette instruction est appelée l'instruction des administrateurs de clé. Les administrateurs de clés ont les autorisations nécessaires pour gérer la clé KMS, mais n'ont pas d'autorisations pour utiliser la clé KMS dans des opérations de chiffrement. Vous pouvez ajouter des utilisateurs et des rôles IAM à la liste des administrateurs de clés lorsque vous créez la clé KMS dans la vue par défaut ou la vue de la politique.
Avertissement
Les administrateurs clés étant autorisés à modifier la politique clé et à créer des autorisations, ils peuvent s'octroyer, ainsi qu'à d'autres, AWS KMS des autorisations non spécifiées dans cette politique.
Les principaux qui ont l'autorisation de gérer les balises et les alias peuvent également contrôler l'accès à une clé KMS. Pour plus de détails, consultez ABAC pour AWS KMS.
Note
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
L'exemple suivant montre l'instruction des administrateurs de clé dans la vue par défaut de la console AWS KMS .
Voici un exemple d'instruction des administrateurs de clés dans la vue de politique de la console AWS KMS . Cette instruction des administrateurs de clés concerne une clé KMS de chiffrement symétrique à région unique.
Note
La AWS KMS console ajoute des administrateurs clés à la politique clé sous l'identifiant de l'instruction"Allow access for Key Administrators". La modification de cet identifiant d'instruction peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS":"arn:aws:iam::111122223333:role/ExampleAdminRole"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion", "kms:RotateKeyOnDemand" ], "Resource": "*" }
L'instruction par défaut des administrateurs de clés pour la clé KMS la plus courante, une clé KMS de chiffrement symétrique à région unique, octroie les autorisations suivantes. Pour plus d'informations sur ces autorisations, veuillez consulter la AWS KMS autorisations.
Lorsque vous utilisez la AWS KMS console pour créer une clé KMS, la console ajoute les utilisateurs et les rôles que vous spécifiez à l'Principalélément figurant dans la déclaration des administrateurs clés.
Un grand nombre de ces autorisations contiennent le caractère générique (*), qui octroie toutes les autorisations commençant par le verbe spécifié. Par conséquent, lors de l' AWS KMS ajout de nouvelles opérations d'API, les administrateurs clés sont automatiquement autorisés à les utiliser. Il n'est pas nécessaire de mettre à jour vos politiques de clé pour inclure les nouvelles opérations. Si vous préférez limiter vos administrateurs de clés à un ensemble fixe d'opérations d'API, vous pouvez modifier votre politique de clé.
kms:Create*-
Autorise kms:CreateAlias et kms:CreateGrant. (L'autorisation
kms:CreateKeyn'est valide que dans une politique IAM.) kms:Describe*-
Autorise kms:DescribeKey L'autorisation
kms:DescribeKeyest nécessaire pour afficher la page des détails d'une clé KMS dans la AWS Management Console. kms:Enable*-
Autorise kms:EnableKey Pour les clés KMS de chiffrement symétriques, elle autorise également kms:EnableKeyRotation.
kms:List*-
Autorise kms:ListGrants,
kms:ListKeyPolicieset kms:ListResourceTags. (Les autorisationskms:ListAliasesetkms:ListKeys, requises pour afficher les clés KMS dans la AWS Management Console, sont valides uniquement dans les politiques IAM.) kms:Put*-
Autorise
kms:PutKeyPolicyCette autorisation autorise les administrateurs de clés à modifier la politique de cette clé KMS. kms:Update*-
Autorise kms:UpdateAlias et
kms:UpdateKeyDescription. Pour les clés multi-région, elle autorise kms:UpdatePrimaryRegion sur cette clé KMS. kms:Revoke*-
Autorise kms:RevokeGrant qui permet aux administrateurs de clés de supprimer un octroi, même s'ils ne sont pas un principal de retrait dans l'octroi.
kms:Disable*-
Autorise kms:DisableKey Pour les clés KMS de chiffrement symétriques, elle autorise également kms:DisableKeyRotation.
kms:Get*-
Autorise kms:GetKeyPolicy et kms:GetKeyRotationStatus. Pour les clés KMS avec des éléments de clé importés, elle autorise
kms:GetParametersForImport. Pour les clés KMS asymétriques, elle autorisekms:GetPublicKey. L'autorisationkms:GetKeyPolicyest nécessaire pour afficher la politique de clé KMS dans la AWS Management Console. kms:Delete*-
Autorise kms:DeleteAlias Pour les clés avec des éléments de clé importés, elle autorise kms:DeleteImportedKeyMaterial. Notez que l'autorisation
kms:Delete*ne permet pas aux administrateurs de clés de supprimer la clé KMS (ScheduleKeyDeletion). kms:TagResource-
Autorise kms:TagResource, qui permet aux administrateurs de clés d'ajouter des identifications à la clé KMS. Étant donné que les balises peuvent être également utilisées pour contrôler l'accès à la clé KMS, cette autorisation peut permettre aux administrateurs d'autoriser ou de refuser l'accès à la clé KMS. Pour plus de détails, consultez ABAC pour AWS KMS.
kms:UntagResource-
Autorise kms:UntagResource, qui permet aux administrateurs de clés de supprimer les balises de la clé KMS. Étant donné que les balises peuvent être utilisées pour contrôler l'accès à la clé, cette autorisation peut permettre aux administrateurs d'autoriser ou de refuser l'accès à la clé KMS. Pour plus de détails, consultez ABAC pour AWS KMS.
kms:ScheduleKeyDeletion-
Autorise
kms:ScheduleKeyDeletion, qui permet aux administrateurs de clés de supprimer cette clé KMS. Pour supprimer cette autorisation, désélectionnez l'option Autoriser les administrateurs de clé à supprimer cette clé. kms:CancelKeyDeletion-
Autorise
kms:CancelKeyDeletion, qui permet aux administrateurs de clés d'annuler la suppression de cette clé KMS. Pour supprimer cette autorisation, désélectionnez l'option Autoriser les administrateurs de clé à supprimer cette clé. kms:RotateKeyOnDemand-
kms:RotateKeyOnDemandAutorise, ce qui permet aux administrateurs clés d'effectuer une rotation à la demande du contenu clé de cette clé KMS.
AWS KMS ajoute les autorisations suivantes à la déclaration par défaut des administrateurs de clés lorsque vous créez des clés spécifiques.
kms:ImportKeyMaterial-
L'autorisation
kms:ImportKeyMaterialpermet aux administrateurs de clés d'importer des éléments de clé dans la clé KMS. Cette autorisation est incluse dans la politique de clé uniquement lorsque vous créez une clé KMS sans élément de clé. kms:ReplicateKey-
L'
kms:ReplicateKeyautorisation permet aux administrateurs clés de créer une réplique d'une clé primaire multirégionale dans une AWS région différente. Cette autorisation est incluse dans la politique de clé uniquement lorsque vous créez une clé primaire ou un réplica multi-région. kms:UpdatePrimaryRegion-
L'autorisation
kms:UpdatePrimaryRegionpermet aux administrateurs de clés de remplacer une clé de réplica multi-région par une clé primaire multi-région. Cette autorisation est incluse dans la politique de clé uniquement lorsque vous créez une clé primaire ou un réplica multi-région.
Autorise les utilisateurs de clés à utiliser la clé KMS.
La politique de clés par défaut créée par la console pour les clés KMS vous permet de choisir les utilisateurs IAM et les rôles IAM dans le compte, ainsi qu'en externe Comptes AWS, et d'en faire des utilisateurs clés.
La console ajoute deux instructions de politique à la politique de clé pour les utilisateurs de clés.
-
Utilisez la clé KMS directement – La première instruction de politique de clé donne aux utilisateurs des clés l'autorisation d'utiliser la clé KMS directement pour toutes les opérations de chiffrement prises en charge pour ce type de clé KMS.
-
Utiliser la clé KMS avec les AWS services — La deuxième déclaration de politique autorise les utilisateurs clés à autoriser les AWS services intégrés AWS KMS à utiliser la clé KMS en leur nom pour protéger des ressources, telles que les compartiments Amazon S3 et les tables Amazon DynamoDB.
Vous pouvez ajouter des utilisateurs IAM, des rôles IAM et d'autres utilisateurs Comptes AWS à la liste des utilisateurs clés lorsque vous créez la clé KMS. Vous pouvez aussi modifier la liste avec la vue par défaut de la console pour les politiques de clé, comme illustré dans l'image suivante. La vue par défaut pour les politiques de clé est sur la page des détails de la clé. Pour plus d'informations sur la manière d'autoriser les utilisateurs d'autres pays Comptes AWS à utiliser la clé KMS, consultezAutoriser des utilisateurs d'autres comptes à utiliser une clé KMS.
Note
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
Les instructions par défaut des utilisateurs de clé d'une clé symétrique à région unique octroient les autorisations suivantes. Pour plus d'informations sur ces autorisations, veuillez consulter la AWS KMS autorisations.
Lorsque vous utilisez la AWS KMS console pour créer une clé KMS, la console ajoute les utilisateurs et les rôles que vous spécifiez à l'Principalélément figurant dans la déclaration de chaque utilisateur clé.
Note
La AWS KMS console ajoute des utilisateurs clés à la politique clé sous les identificateurs de déclaration "Allow use of the key" et"Allow
attachment of persistent resources". La modification de ces identificateurs de déclaration peut avoir un impact sur la façon dont la console affiche les mises à jour que vous apportez à l'instruction.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/ExampleRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Permet aux utilisateurs de clés d'utiliser une clé KMS pour les opérations de chiffrement
Les utilisateurs de clés ont l'autorisation d'utiliser la clé KMS directement dans toutes les opérations de chiffrement prises en charge par la clé KMS. Ils peuvent également utiliser l'DescribeKeyopération pour obtenir des informations détaillées sur la clé KMS dans la AWS KMS console ou en utilisant les opérations AWS KMS d'API.
Par défaut, la AWS KMS console ajoute à la politique clé par défaut des instructions relatives aux utilisateurs clés telles que celles des exemples suivants. Étant donné qu'ils prennent en charge différentes opérations d'API, les actions des instructions de politique pour les clés KMS de chiffrement symétriques, les clés KMS HMAC, les clés KMS asymétriques pour le chiffrement de clé publique et les clés KMS asymétriques pour la signature et la vérification sont légèrement différentes.
- Clés KMS de chiffrement symétriques
-
La console ajoute l'instruction suivante à la politique de clé pour les clés KMS de chiffrement symétriques.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" } - Clés KMS HMAC
-
La console ajoute l'instruction suivante à la politique de clé pour les clés KMS HMAC.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GenerateMac", "kms:VerifyMac" ], "Resource": "*" } - Clés CMK asymétriques pour le chiffrement de clé publique
-
La console ajoute l'instruction suivante à la politique de clé pour les clés KMS asymétriques avec Encrypt and decrypt (Chiffrer et déchiffrer) comme utilisation des clés.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" } - Clés CMK asymétriques pour la signature et la vérification
-
La console ajoute l'instruction suivante à la politique de clé pour les clés KMS asymétriques avec Sign and verify (Signer et vérifier) comme utilisation des clés.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" } - Clés KMS asymétriques pour obtenir des secrets partagés
-
La console ajoute la déclaration suivante à la politique clé pour les clés KMS asymétriques avec une utilisation clé de l'accord des clés.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:DeriveSharedSecret" ], "Resource": "*" }
Les actions de ces instructions donnent aux utilisateurs de clé les autorisations suivantes.
kms:Encrypt-
Permet aux utilisateurs de clé de chiffrer des données avec cette clé KMS.
kms:Decrypt-
Permet aux utilisateurs de clé de déchiffrer des données avec cette clé KMS.
kms:DeriveSharedSecret-
Permet aux utilisateurs clés de dériver des secrets partagés avec cette clé KMS.
kms:DescribeKey-
Permet aux utilisateurs de clé d'obtenir des informations sur cette clé KMS, y compris ses identificateurs, sa date de création, son état, etc. Il permet également aux principaux utilisateurs d'afficher les détails de la clé KMS dans la AWS KMS console.
kms:GenerateDataKey*-
Permet aux utilisateurs de clé de demander une paires de clés de données symétriques ou asymétriques pour les opérations de chiffrement côté client. La console utilise le caractère générique * pour représenter l'autorisation pour les opérations d'API suivantes : GenerateDataKey, GenerateDataKeyWithoutPlaintextGenerateDataKeyPair, et GenerateDataKeyPairWithoutPlaintext. Ces autorisations sont valides uniquement sur les clés KMS symétriques qui chiffrent les clés de données.
- km : GenerateMac
-
Permet aux utilisateurs de clés d'utiliser une clé KMS HMAC pour générer une balise HMAC.
- km : GetPublicKey
-
Permet aux utilisateurs de clé de télécharger la clé publique de la clé KMS asymétrique. Les parties avec lesquelles vous partagez cette clé publique peuvent chiffrer des données en dehors de AWS KMS. Cependant, ces textes chiffrés ne peuvent être déchiffrés qu'en appelant l'opération Decrypt dans AWS KMS.
- km : ReEncrypt *
-
Permet aux utilisateurs de clé de rechiffrer les données initialement chiffrées avec cette clé KMS, ou d'utiliser cette clé KMS pour rechiffrer des données précédemment chiffrées. L'ReEncryptopération nécessite l'accès aux clés KMS source et de destination. Pour ce faire, vous pouvez accorder l'autorisation
kms:ReEncryptFromsur la clé KMS source et l'autorisationkms:ReEncryptTosur la clé KMS de destination. Cependant, par souci de simplicité, la console autorisekms:ReEncrypt*(avec le caractère*générique) sur les deux clés KMS. - kms:Sign
-
Permet aux utilisateurs de clé de signer des messages avec cette clé KMS.
- kms:Verify
-
Permet aux utilisateurs de clé de vérifier les signatures avec cette clé KMS.
- km : VerifyMac
-
Permet aux utilisateurs de clés d'utiliser une clé KMS HMAC pour vérifier une balise HMAC.
Permet aux utilisateurs de clé d'utiliser la clé KMS avec les services AWS .
La politique clé par défaut de la console donne également aux utilisateurs clés les autorisations dont ils ont besoin pour protéger leurs données dans les AWS services utilisant des autorisations. AWS les services utilisent souvent des subventions pour obtenir une autorisation spécifique et limitée d'utilisation d'une clé KMS.
Cette déclaration de politique clé permet à l'utilisateur clé de créer, de consulter et de révoquer des autorisations sur la clé KMS, mais uniquement lorsque la demande d'opération d'autorisation provient d'un AWS service intégré à AWS KMS
Les utilisateurs de clé ont besoin de ces autorisations pour utiliser leur clé KMS avec des services intégrés, mais ces autorisations ne sont pas suffisantes. Les utilisateurs de clés ont également besoin d'une autorisation pour utiliser les services intégrés. Pour en savoir plus sur l'accès des utilisateurs à un AWS service intégré AWS KMS, consultez la documentation du service intégré.
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }
Par exemple, les utilisateurs de clés peuvent utiliser ces autorisations sur la clé KMS de la manière suivante.
-
Utilisez cette clé KMS avec Amazon Elastic Block Store (Amazon EBS) et Amazon Elastic Compute Cloud ( EC2Amazon) pour associer un volume EBS chiffré à une instance. EC2 L'utilisateur clé EC2 autorise implicitement Amazon à utiliser la clé KMS pour associer le volume chiffré à l'instance. Pour de plus amples informations, veuillez consulter Comment Amazon Elastic Block Store (Amazon EBS) utilise AWS KMS.
-
Utilisez cette clé KMS avec Amazon Redshift pour lancer un cluster chiffré. L'utilisateur de clé accorde implicitement à Amazon Redshift l'autorisation d'utiliser la clé KMS pour lancer le cluster chiffré et créer des instantanés chiffrés. Pour de plus amples informations, veuillez consulter Comment Amazon Redshift utilise AWS KMS.
-
Utiliser cette clé KMS avec d'autres services AWS intégrés à AWS KMS qui utilisent des octrois, pour créer, gérer ou utiliser des ressources chiffrées avec ces services.
La politique de clé par défaut permet aux utilisateurs clés de déléguer leur autorisation d'octroi à tous les services intégrés qui utilisent des octrois. Cependant, vous pouvez créer une politique clé personnalisée qui limite l'autorisation à des AWS services spécifiques. Pour plus d'informations, reportez-vous à la clé de condition km : ViaService.
