Tester vos appels d’API AWS KMS - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tester vos appels d’API AWS KMS

Pour utiliser AWS KMS, vous devez posséder des informations d'identification que AWS peut utiliser pour authentifier vos demandes d’API. Les informations d'identification doivent inclure des autorisations pour accéder aux clés KMS et aux alias. Les autorisations sont déterminées par les stratégies de clé, les politiques IAM, les octrois et les contrôles d'accès intercomptes. Outre le contrôle de l'accès aux clés KMS, vous pouvez contrôler l'accès à votre CloudHSM et à vos magasins de clés personnalisés.

Vous pouvez spécifier le paramètre d’API DryRun pour vérifier que vous disposez des autorisations nécessaires pour utiliser les clés AWS KMS. Vous pouvez également utiliser DryRun pour vérifier que les paramètres de demande dans un appel d'API AWS KMS sont correctement spécifiés.

Quel est le DryRun paramètre ?

DryRun est un paramètre d'API facultatif que vous spécifiez pour vérifier que les appels d’API AWS KMS aboutiront. Utilisez DryRun pour tester votre appel d'API, avant de passer réellement l'appel à AWS KMS. Vous pouvez modifier les valeurs suivantes :

  • Que vous disposez des autorisations nécessaires pour utiliser les clés AWS KMS.

  • Que vous avez correctement spécifié les paramètres lors de l'appel.

AWS KMS prend en charge l'utilisation du paramètre DryRun dans certaines actions d'API :

L'utilisation du paramètre DryRun entraînera des frais et sera facturée comme une demande d'API standard. Pour plus d'informations sur la tarification AWS KMS, consultez Tarification AWS Key Management Service.

Toutes les demandes d'API utilisant le paramètre DryRun s'appliquent au quota de demandes de l'API et peuvent entraîner une exception de limitation si vous dépassez un quota de demandes d'API. Par exemple, le fait d'appeler Decrypt avec DryRun ou sans DryRun compte pour le même quota d'opérations cryptographiques. Pour en savoir plus, veuillez consulter Limitation des demandes AWS KMS.

Chaque appel à une opération d'API AWS KMS est capturé comme événement dans un journal AWS CloudTrail. Le résultat de toutes les opérations qui spécifient le DryRun paramètre apparaît dans votre CloudTrail journal. Pour plus d’informations, consultez Journalisation des appels d'API AWS KMS avec AWS CloudTrail.

Spécification DryRun à l'aide de l'API

Pour utiliser DryRun, spécifiez le paramètre —dry-run dans les commandes AWS CLI et les appels d'API AWS KMS qui prennent en charge le paramètre. Lorsque vous le ferez, AWS KMS vérifiera si votre appel aboutit. Les appels AWS KMS qui utilisent DryRun échoueront toujours et renverront un message contenant des informations sur le motif d'échec de l'appel. Le message peut inclure les exceptions suivantes :

  • DryRunOperationException ‐ La demande aboutirait si DryRun n'était pas spécifié.

  • ValidationException ‐ La demande n'a pas réussi à spécifier un paramètre d'API incorrect.

  • AccessDeniedException ‐ Vous ne disposez pas des autorisations pour exécuter l'action d'API spécifiée sur la ressource KMS.

Par exemple, la commande suivante utilise l'CreateGrantopération et crée une autorisation qui permet aux utilisateurs autorisés à assumer le keyUserRole rôle d'appeler l'opération de déchiffrement sur une clé KMS symétrique spécifiée. Le paramètre DryRun est spécifié.

$ aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \ --operations Decrypt \ --dry-run