Comment modifier une politique de clé Attribution à plusieurs principaux IAM de l'autorisation d'accès à une clé KMS

Modification d'une politique de clé

Vous pouvez modifier la politique de clé d'une clé KMS dans votre ordinateur en Compte AWS utilisant l'PutKeyPolicyopération AWS Management Console ou. Vous ne pouvez pas utiliser ces techniques pour modifier la politique clé d'une clé KMS d'un autre Compte AWS.

Lors de la modification d'une politique de clé, gardez à l'esprit les règles suivantes :

Vous pouvez afficher la politique de clé d'une Clé gérée par AWS ou d'une clé KMS par le client, mais vous ne pouvez modifier que la politique de clé d'une clé KMS géré par le client. Les politiques des Clés gérées par AWS sont créées et gérées par le service AWS qui a créé la clé KMS dans votre compte. Vous ne pouvez pas afficher ou modifier la politique de clé pour une Clé détenue par AWS.
Vous pouvez ajouter ou supprimer des utilisateurs IAM, des rôles IAM et des Comptes AWS dans la politique de clé, ainsi que modifier les actions autorisées ou refusées pour ces principaux. Pour plus d'informations sur les moyens de spécifier des principaux et des autorisations dans une politique de clé, consultez la page Politiques de clé.
Vous ne pouvez pas ajouter de groupes IAM à une politique de clé, mais vous pouvez ajouter plusieurs utilisateurs IAM et rôles IAM. Pour plus d’informations, consultez Attribution à plusieurs principaux IAM de l'autorisation d'accès à une clé KMS.
Lorsque vous ajoutez des Comptes AWS externes à une politique de clé, vous devez également utiliser des politiques IAM dans les comptes externes pour accorder des autorisations aux utilisateurs, aux groupes et aux rôles IAM de ces comptes. Pour plus d’informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS.
Le document de politique de clé obtenu ne doit pas comporter plus de 32 Ko (32 768 octets).

Rubriques

Comment modifier une politique de clé
Attribution à plusieurs principaux IAM de l'autorisation d'accès à une clé KMS

Comment modifier une politique de clé

Vous pouvez modifier une politique de clé de trois façons différentes, chacune d'elles étant expliquée dans les sections suivantes.

Rubriques

Utilisation de la vue par défaut d'AWS Management Console
Utilisation de la vue de politique d'AWS Management Console
Utilisation de l'API AWS KMS

Utilisation de la vue par défaut d'AWS Management Console

Vous pouvez utiliser la console pour modifier une politique de clé à l'aide d'une interface graphique appelée vue par défaut.

Si les étapes suivantes ne correspondent pas à ce que vous voyez dans la console, cela peut signifier que cette politique n'a pas été créée par la console. Ou cela peut signifier que la politique de clé a été modifiée d'une façon que la vue par défaut de la console ne prend pas en charge. Dans ce cas, suivez les étapes de la section Utilisation de la vue de politique d'AWS Management Console ou Utilisation de l'API AWS KMS.

Affichez la politique de clé d'une clé gérée par le client comme indiqué dans Affichage d'une politique de clé (console). (Vous ne pouvez pas modifier les politiques de clé des Clés gérées par AWS.)
Décidez ce qu'il convient de modifier.
- Pour ajouter ou supprimer des administrateurs de clé, et pour autoriser ou non ces administrateurs de clé à supprimer la clé KMS, utilisez les contrôles de la section Administrateurs de clé de la page. Les administrateurs de clé gèrent la clé KMS, y compris son activation et sa désactivation, la définition de la politique de clé, et l'activation de la rotation des clés.
- Pour ajouter ou supprimer des utilisateurs de clé, et pour autoriser ou non les comptes Comptes AWS externes à utiliser la clé KMS, utilisez les contrôles de la section Key users (Utilisateurs de clé) de la page. Les utilisateurs de clé peuvent utiliser la clé KMS dans les opérations de chiffrement, telles que le chiffrement, le déchiffrement, le rechiffrement et la génération de clés de données.

Utilisation de la vue de politique d'AWS Management Console

Vous pouvez utiliser la console pour modifier un document de politique de clé à l'aide de la vue de politique de la console.

Affichez la politique de clé d'une clé gérée par le client comme indiqué dans Affichage d'une politique de clé (console). (Vous ne pouvez pas modifier les politiques de clé des Clés gérées par AWS.)
Dans la section Politique de clé, choisissez Passer à la vue de politique.
Modifiez le document de politique de clé, puis choisissez Enregistrer les modifications.

Utilisation de l'API AWS KMS

Vous pouvez utiliser cette PutKeyPolicyopération pour modifier la politique de clé d'une clé KMS dans votreCompte AWS. Vous ne pouvez pas utiliser cette API sur une clé KMS d'un autre Compte AWS.

Utilisez cette GetKeyPolicyopération pour obtenir le document de stratégie clé existant, puis enregistrez le document de stratégie clé dans un fichier. Pour obtenir un exemple de code dans plusieurs langages de programmation, veuillez consulter Obtention d'une politique de clé.
Ouvrez le document de politique de clé dans votre éditeur de texte préféré, modifiez le document de politique de clé, puis enregistrez le fichier.
Utilisez cette PutKeyPolicyopération pour appliquer le document de politique clé mis à jour à la clé KMS. Pour obtenir un exemple de code dans plusieurs langages de programmation, veuillez consulter Définition d'une politique de clé.

Pour un exemple de copie d'une politique clé d'une clé KMS à une autre, consultez l'GetKeyPolicy exemple dans le manuel de référence des AWS CLI commandes.

Attribution à plusieurs principaux IAM de l'autorisation d'accès à une clé KMS

Les groupes IAM ne sont pas des principaux valides dans une politique de clé. Pour autoriser plusieurs utilisateurs et rôles à accéder à une clé KMS, effectuez l'une des opérations suivantes :

Utilisez un rôle IAM comme principal dans la politique de clé. Plusieurs utilisateurs autorisés peuvent assumer ce rôle selon les besoins. Pour plus d'informations, consultez Rôles IAM dans le Guide de l'utilisateur IAM.

Rien ne vous empêche d'associer plusieurs utilisateurs IAM à une politique de clé, mais cette pratique est déconseillée, car elle vous oblige à mettre à jour la politique de clé chaque fois que la liste des utilisateurs autorisés change. En outre, les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Pour plus d'informations, consultez Security best practices in IAM (Bonnes pratiques de sécurité dans IAM) dans le Guide de l'utilisateur IAM.
Utilisez une politique IAM pour accorder une autorisation à un groupe IAM. Pour ce faire, assurez-vous que la politique de clé contient la déclaration qui permet aux politiques IAM d'autoriser l'accès à la clé KMS, créez une politique IAM qui autorise l'accès à la clé KMS, puis attribuez cette politique à un groupe IAM dans lequel figurent les utilisateurs IAM autorisés. Grâce à cette approche, vous n'avez pas besoin de modifier de politiques lorsque la liste des utilisateurs autorisés change. Au lieu de cela, il vous suffit d'ajouter ou de supprimer ces utilisateurs à partir du groupe IAM approprié. Pour plus d'informations, consultez Groupes d'utilisateurs IAM dans le Guide de l'utilisateur IAM.

Pour plus d'informations sur la manière dont les politiques de clé AWS KMS et les politiques IAM fonctionnent ensemble, veuillez consulter Résolution des problèmes de clé d'accès.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Affichage d'une politique de clé

Autorisations pour les services AWS