Autorisations des rôles liés à un service pour les magasins de clés personnalisés AWS KMS Autorisations des rôles liés à un service pour les clés multi-région AWS KMS Mises à jour AWS KMS vers des politiques gérées par AWS

Utilisation des rôles liés aux services pour AWS KMS

AWS Key Management Service utilise des rôles AWS Identity and Access Management (IAM) liés à un service. Un rôle lié à un service est un type unique de rôle IAM lié directement à AWS KMS. Les rôles liés à un service sont définis par AWS KMS et comprennent toutes les autorisations nécessaires au service pour appeler d'autres services AWS en votre nom.

Un rôle lié à un service permet d'utiliser AWS KMS plus facilement, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. AWS KMS définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul AWS KMS peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Vos ressources AWS KMS sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM et recherchez les services où Oui figure dans la colonne Rôle lié à un service. Choisissez un Yes (oui) ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations des rôles liés à un service pour les magasins de clés personnalisés AWS KMS

AWS KMSutilise un rôle lié à un service nommé AWSServiceRoleForKeyManagementServiceCustomKeyStorespour prendre en charge les magasins de clés personnalisés. Ce rôle lié à un service accorde à AWS KMS l'autorisation d'afficher vos clusters AWS CloudHSM et de créer l'infrastructure réseau pour prendre en charge une connexion entre votre magasin de clés personnalisé et son clusterAWS CloudHSM. AWS KMS crée ce rôle uniquement lorsque vous créez un magasin de clés personnalisé. Vous ne pouvez pas créer directement ce rôle lié à un service.

Le rôle lié à un service AWSServiceRoleForKeyManagementServiceCustomKeyStores approuve cks.kms.amazonaws.com pour qu'il endosse le rôle. Par conséquent, uniquement AWS KMS peut endosser ce rôle lié à un service.

Les autorisations du rôle sont limitées aux actions exécutées par AWS KMS pour connecter un magasin de clés personnalisé à un cluster AWS CloudHSM. Aucune autre autorisation n'est accordée à AWS KMS. Par exemple, AWS KMS n'a pas l'autorisation de créer, gérer ou supprimer vos clusters AWS CloudHSM, vos HSM ou vos sauvegardes.

Pour plus d'informations sur le rôle AWSServiceRoleForKeyManagementServiceCustomKeyStores, y compris la liste des autorisations et des instructions pour afficher le rôle, modifier sa description, le supprimer et le faire recréer automatiquement par AWS KMS, consultez Autoriser AWS KMS à gérer AWS CloudHSM et les ressources Amazon EC2.

Autorisations des rôles liés à un service pour les clés multi-région AWS KMS

AWS KMSutilise un rôle lié à un service nommé AWSServiceRoleForKeyManagementServiceMultiRegionKeyspour prendre en charge les clés multirégionales. Ce rôle lié à un service accorde à AWS KMS l'autorisation de synchroniser les changements des éléments de clé d'une clé principale multi-région avec les clés de réplica. AWS KMS crée ce rôle uniquement lorsque vous créez une clé principale multi-région. Vous ne pouvez pas créer directement ce rôle lié à un service.

Le rôle lié à un service AWSServiceRoleForKeyManagementServiceMultiRegionKeys approuve mrk.kms.amazonaws.com pour qu'il endosse le rôle. Par conséquent, uniquement AWS KMS peut endosser ce rôle lié à un service. Les autorisations du rôle sont limitées aux actions exécutées par AWS KMS pour synchroniser les éléments de clé dans les clés multi-région associées. Aucune autre autorisation n'est accordée à AWS KMS.

Pour plus d'informations sur le rôle AWSServiceRoleForKeyManagementServiceMultiRegionKeys, y compris la liste des autorisations et des instructions pour afficher le rôle, modifier sa description, le supprimer et le faire recréer automatiquement par AWS KMS, consultez Autoriser AWS KMS à synchroniser de clés multi-région.

Mises à jour AWS KMS vers des politiques gérées par AWS

Consultez le détail des mises à jour des politiques gérées par AWS pour AWS KMS depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page AWS KMS Historique du document.

Modification	Description	Date
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Mise à jour de la politique existante	AWS KMSa ajouté les `ec2:DescribeNetworkInterfaces` autorisations `ec2:DescribeVpcsec2:DescribeNetworkAcls`, et pour surveiller les modifications apportées au VPC qui contient votre AWS CloudHSM cluster afin de AWS KMS pouvoir fournir des messages d'erreur clairs en cas de défaillance.	10 novembre 2023
AWS KMS a démarré le suivi des modifications	AWS KMS a commencé à suivre les modifications pour ses politiques gérées par AWS.	10 novembre 2023

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Accès intercomptes

TLS post-quantique hybride