Test des autorisations

Pour l'utiliser AWS KMS, vous devez disposer d'informations d'identification AWS permettant d'authentifier vos demandes d'API. Les informations d'identification doivent inclure des autorisations pour accéder aux clés KMS et aux alias. Les autorisations sont déterminées par les stratégies de clé, les politiques IAM, les octrois et les contrôles d'accès intercomptes. Outre le contrôle de l'accès aux clés KMS, vous pouvez contrôler l'accès à votre CloudHSM et à vos magasins de clés personnalisés.

Vous pouvez spécifier le paramètre d’API DryRun pour vérifier que vous disposez des autorisations nécessaires pour utiliser les clés  AWS KMS . Vous pouvez également l'utiliser DryRun pour vérifier que les paramètres de demande dans un appel d' AWS KMS API sont correctement spécifiés.

Quel est le DryRun paramètre ?

DryRun est un paramètre d'API facultatif que vous spécifiez pour vérifier que les appels d’API AWS KMS aboutiront. Utilisez DryRun pour tester votre appel d'API, avant de passer réellement l'appel à AWS KMS. Vous pouvez modifier les valeurs suivantes :

• Que vous disposez des autorisations nécessaires pour utiliser les clés AWS KMS .

• Que vous avez correctement spécifié les paramètres lors de l'appel.

AWS KMS prend en charge l'utilisation du DryRun paramètre dans certaines actions d'API :

• CreateGrant

• Decrypt (Déchiffrer)

• DeriveSharedSecret

• Encrypt (Chiffrer)

• GenerateDataKey

• GenerateDataKeyPair

• GenerateDataKeyPairWithoutPlaintext

• GenerateDataKeyWithoutPlaintext

• GenerateMac

• ReEncrypt

• RetireGrant

• RevokeGrant

• Sign (Signer)

• Verify (Vérifier)

• VerifyMac

L'utilisation du paramètre DryRun entraînera des frais et sera facturée comme une demande d'API standard. Pour plus d'informations sur la AWS KMS tarification, consultez la section AWS Key Management Service Tarification.

Toutes les demandes d'API utilisant le paramètre DryRun s'appliquent au quota de demandes de l'API et peuvent entraîner une exception de limitation si vous dépassez un quota de demandes d'API. Par exemple, le fait d'appeler Decrypt avec DryRun ou sans DryRun compte pour le même quota d'opérations cryptographiques. Pour en savoir plus, veuillez consulter Limitation des demandes AWS KMS.

Chaque appel à une opération d' AWS KMS API est capturé en tant qu'événement et enregistré dans un AWS CloudTrail journal. Le résultat de toutes les opérations qui spécifient le DryRun paramètre apparaît dans votre CloudTrail journal. Pour plus d’informations, consultez Enregistrement AWS KMS API des appels avec AWS CloudTrail.

Spécification DryRun à l'aide de l'API

Pour l'utiliserDryRun, spécifiez le —dry-run paramètre dans AWS CLI les commandes et les appels d' AWS KMS API qui le prennent en charge. Lorsque vous le ferez, AWS KMS nous vérifierons si votre appel aboutira. AWS KMS les appels utilisés DryRun échoueront toujours et renverront un message contenant des informations sur la raison de l'échec de l'appel. Le message peut inclure les exceptions suivantes :

• DryRunOperationException ‐ La demande aboutirait si DryRun n'était pas spécifié.

• ValidationException ‐ La demande n'a pas réussi à spécifier un paramètre d'API incorrect.

• AccessDeniedException ‐ Vous ne disposez pas des autorisations pour exécuter l'action d'API spécifiée sur la ressource KMS.

Par exemple, la commande suivante utilise l'CreateGrantopération et crée une autorisation qui permet aux utilisateurs autorisés à assumer le keyUserRole rôle d'appeler l'opération de déchiffrement sur une clé KMS symétrique spécifiée. Le paramètre DryRun est spécifié.

$  aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
    --operations Decrypt \
    --dry-run