Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Modifier une politique clé
Vous pouvez modifier la politique de clé pour une KMS clé de votre Compte AWS en utilisant l'PutKeyPolicyopération AWS Management Console ou. Vous ne pouvez pas utiliser ces techniques pour modifier la politique clé d'une KMS clé dans une autre Compte AWS.
Lors de la modification d'une politique de clé, gardez à l'esprit les règles suivantes :
-
Vous pouvez afficher la politique de clé d'une Clé gérée par AWS ou d'une clé KMS par le client, mais vous ne pouvez modifier que la politique de clé d'une clé KMS géré par le client. Les politiques de Clés gérées par AWS sont créées et gérées par le AWS service qui a créé la KMS clé dans votre compte. Vous ne pouvez pas afficher ou modifier la politique de clé pour une Clé détenue par AWS.
-
Vous pouvez ajouter ou supprimer des IAM utilisateurs, IAM des rôles et Comptes AWS dans la politique clé, et modifier les actions autorisées ou refusées pour ces principaux. Pour plus d'informations sur les moyens de spécifier des principaux et des autorisations dans une politique de clé, consultez la page Politiques de clé.
-
Vous ne pouvez pas ajouter de IAM groupes à une politique clé, mais vous pouvez ajouter plusieurs IAM utilisateurs et IAM rôles. Pour de plus amples informations, veuillez consulter Permettre à plusieurs IAM principaux d'accéder à une clé KMS.
-
Si vous ajoutez des éléments externes Comptes AWS à une politique clé, vous devez également utiliser IAM les politiques des comptes externes pour accorder des autorisations aux IAM utilisateurs, aux groupes ou aux rôles de ces comptes. Pour de plus amples informations, veuillez consulter Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.
-
Le document de politique de clé obtenu ne doit pas comporter plus de 32 Ko (32 768 octets).
Comment modifier une politique de clé
Vous pouvez modifier une politique de clé de trois façons différentes, chacune d'elles étant expliquée dans les sections suivantes.
Rubriques
Utilisation de la vue par défaut d' AWS Management Console
Vous pouvez utiliser la console pour modifier une politique de clé à l'aide d'une interface graphique appelée vue par défaut.
Si les étapes suivantes ne correspondent pas à ce que vous voyez dans la console, cela peut signifier que cette politique n'a pas été créée par la console. Ou cela peut signifier que la politique de clé a été modifiée d'une façon que la vue par défaut de la console ne prend pas en charge. Dans ce cas, suivez les étapes de la section Utilisation de l'affichage AWS Management Console des politiques ou À l'aide du AWS KMS API.
Affichez la politique de clé d'une clé gérée par le client comme indiqué dans Utilisation de la AWS KMS console. (Vous ne pouvez pas modifier les politiques clés de Clés gérées par AWS.)
-
Décidez ce qu'il convient de modifier.
-
Pour ajouter ou supprimer des administrateurs clés, et pour autoriser ou empêcher les administrateurs clés de supprimer la KMS clé, utilisez les commandes de la section Administrateurs clés de la page. Les administrateurs principaux gèrent la KMS clé, notamment en l'activant et en la désactivant, en définissant une politique en matière de clés et en activant la rotation des clés.
-
Pour ajouter ou supprimer des utilisateurs clés, et pour autoriser ou interdire l'utilisation Comptes AWS de la KMS clé par des utilisateurs externes, utilisez les commandes de la section Utilisateurs clés de la page. Les utilisateurs de clés peuvent utiliser la KMS clé dans des opérations cryptographiques, telles que le chiffrement, le déchiffrement, le rechiffrement et la génération de clés de données.
-
Utilisation de l'affichage AWS Management Console des politiques
Vous pouvez utiliser la console pour modifier un document de politique de clé à l'aide de la vue de politique de la console.
Affichez la politique de clé d'une clé gérée par le client comme indiqué dans Utilisation de la AWS KMS console. (Vous ne pouvez pas modifier les politiques clés de Clés gérées par AWS.)
-
Dans la section Politique de clé, choisissez Passer à la vue de politique.
-
Modifiez le document de politique de clé, puis choisissez Enregistrer les modifications.
À l'aide du AWS KMS API
Vous pouvez utiliser cette PutKeyPolicyopération pour modifier la politique de clé d'une KMS clé de votre Compte AWS. Vous ne pouvez pas l'utiliser API sur une KMS clé dans un autre Compte AWS.
-
Utilisez cette GetKeyPolicyopération pour obtenir le document de stratégie clé existant, puis enregistrez le document de stratégie clé dans un fichier. Pour obtenir un exemple de code dans plusieurs langages de programmation, veuillez consulter À utiliser GetKeyPolicy avec un AWS SDK ou CLI.
-
Ouvrez le document de politique de clé dans votre éditeur de texte préféré, modifiez le document de politique de clé, puis enregistrez le fichier.
-
Utilisez cette PutKeyPolicyopération pour appliquer le document de politique clé mis à jour à la KMS clé. Pour obtenir un exemple de code dans plusieurs langages de programmation, veuillez consulter À utiliser PutKeyPolicy avec un AWS SDK ou CLI.
Pour un exemple de copie d'une politique clé d'une KMS touche à une autre, consultez l'GetKeyPolicy exemple dans le manuel de référence des AWS CLI commandes.