Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Affichage d'une politique de clé
Vous pouvez consulter la politique clé d'une clé gérée par le AWS KMS client ou d'une clé intégrée Clé gérée par AWSà votre compte en utilisant l'opération AWS Management Console ou l'GetKeyPolicyopération dans l'AWS KMSAPI. Vous ne pouvez pas utiliser ces techniques pour afficher la politique d'une clé KMS dans un autre Compte AWS.
Pour en savoir plus sur les politiques de clé AWS KMS, consultez Politiques clés en AWS KMS. Pour savoir comment déterminer quels sont les utilisateurs et rôles qui ont accès à une clé KMS, veuillez consulter Déterminer l'accès à des AWS KMS keys.
Affichage d'une politique de clé (console)
Les utilisateurs autorisés peuvent afficher la politique de clé d'une Clé gérée par AWS ou d'une clé gérée par le client dans l'onglet Politique de clé de la AWS Management Console.
Pour afficher la politique clé d'une clé KMS dans leAWS Management Console, vous devez disposer des GetKeyPolicy autorisations kms : DescribeKey, kms : et kms :. ListAliases
-
Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms
. -
Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
-
Pour afficher les clés de votre compte qu'AWS crée et gère pour vous, dans le panneau de navigation, choisissez Clés gérées par AWS. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.
-
Dans la liste des clés KMS, choisissez l'alias ou l'ID de clé de la clé KMS que vous souhaitez examiner.
-
Choisissez l'onglet Politique de clé.
Dans l'onglet Politique de clé, vous pouvez voir le document de politique de clé. Il s'agit d'une vue de politique. Dans les instructions de politique de clé, vous pouvez voir les principaux qui sont autorisés à accéder à la clé KMS par la politique de clé, ainsi que les actions qu'ils peuvent effectuer.
L'exemple suivant montre la vue de la politique de clé par défaut.
Ou, si vous avez créé la clé KMS dans la AWS Management Console, vous verrez la vue par défaut avec des sections pour les Administrateurs de clé, la Suppression de clé et les Utilisateurs de clé. Pour consulter le document de politique de clé, choisissez Passer à la vue de politique.
L'exemple suivant montre la vue par défaut de la politique de clé par défaut.
Affichage d'une politique de clé (API AWS KMS)
Pour obtenir la politique de clé pour une clé KMS dans votreCompte AWS, utilisez l'GetKeyPolicyopération dans l'AWS KMSAPI. Vous ne pouvez pas utiliser cette opération pour afficher une politique de clé d'un autre compte.
L'exemple suivant utilise la get-key-policycommande contenue dans le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel AWS SDK pour effectuer cette demande.
Notez que le paramètre PolicyName
est obligatoire, même si default
est sa seule valeur valide. En outre, cette commande demande une sortie en texte, plutôt qu'en JSON, pour le rendre plus facile à afficher.
Avant d'exécuter cette commande, remplacez l'exemple d'ID de clé par un identifiant valide provenant de votre compte.
$
aws kms get-key-policy --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
--policy-name default --output text
La réponse doit être similaire à la suivante, qui renvoie la politique de clé par défaut.
{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }