Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Test des autorisations
Pour l'utiliser AWS KMS, vous devez disposer d'informations d'identification AWS permettant d'authentifier vos demandes d'API. Les informations d'identification doivent inclure des autorisations pour accéder aux clés KMS et aux alias. Les autorisations sont déterminées par les stratégies de clé, les politiques IAM, les octrois et les contrôles d'accès intercomptes. Outre le contrôle de l'accès aux clés KMS, vous pouvez contrôler l'accès à votre CloudHSM et à vos magasins de clés personnalisés.
Vous pouvez spécifier le paramètre d’API DryRun
pour vérifier que vous disposez des autorisations nécessaires pour utiliser les clés AWS KMS
. Vous pouvez également l'utiliser DryRun
pour vérifier que les paramètres de demande dans un appel d' AWS KMS API sont correctement spécifiés.
Quel est le DryRun paramètre ?
DryRun
est un paramètre d'API facultatif que vous spécifiez pour vérifier que les appels d’API AWS KMS
aboutiront. Utilisez DryRun
pour tester votre appel d'API, avant de passer réellement l'appel à AWS KMS. Vous pouvez modifier les valeurs suivantes :
-
Que vous disposez des autorisations nécessaires pour utiliser les clés AWS KMS .
-
Que vous avez correctement spécifié les paramètres lors de l'appel.
AWS KMS prend en charge l'utilisation du DryRun
paramètre dans certaines actions d'API :
L'utilisation du paramètre DryRun
entraînera des frais et sera facturée comme une demande d'API standard. Pour plus d'informations sur la AWS KMS tarification, consultez la section AWS Key Management Service Tarification
Toutes les demandes d'API utilisant le paramètre DryRun
s'appliquent au quota de demandes de l'API et peuvent entraîner une exception de limitation si vous dépassez un quota de demandes d'API. Par exemple, le fait d'appeler Decrypt avec DryRun
ou sans DryRun
compte pour le même quota d'opérations cryptographiques. Pour en savoir plus, veuillez consulter Limitation des demandes AWS KMS.
Chaque appel à une opération d' AWS KMS API est capturé en tant qu'événement et enregistré dans un AWS CloudTrail journal. Le résultat de toutes les opérations qui spécifient le DryRun
paramètre apparaît dans votre CloudTrail journal. Pour plus d’informations, consultez Journalisation des appels d' AWS KMS API avec AWS CloudTrail.
Spécification DryRun à l'aide de l'API
Pour l'utiliserDryRun
, spécifiez le —dry-run
paramètre dans AWS CLI
les commandes et les appels d' AWS KMS API qui le prennent en charge. Lorsque vous le ferez, AWS KMS nous vérifierons si votre appel aboutira. AWS KMS les appels utilisés DryRun
échoueront toujours et renverront un message contenant des informations sur la raison de l'échec de l'appel. Le message peut inclure les exceptions suivantes :
-
DryRunOperationException
‐ La demande aboutirait siDryRun
n'était pas spécifié. -
ValidationException
‐ La demande n'a pas réussi à spécifier un paramètre d'API incorrect. -
AccessDeniedException
‐ Vous ne disposez pas des autorisations pour exécuter l'action d'API spécifiée sur la ressource KMS.
Par exemple, la commande suivante utilise l'CreateGrantopération et crée une autorisation qui permet aux utilisateurs autorisés à assumer le keyUserRole
rôle d'appeler l'opération de déchiffrement sur une clé KMS symétrique spécifiée. Le paramètre DryRun
est spécifié.
$
aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \ --operations Decrypt \ --dry-run