Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Key Management Service
AWS Key Management Service (préfixe de service : kms
) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Key Management Service
Vous pouvez indiquer les actions suivantes dans l'élément Action
d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource
de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resource
élément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition
d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
---|---|---|---|---|---|
CancelKeyDeletion | Contrôle l'autorisation d'annuler la suppression planifiée d'une clé AWS KMS | Écrire | |||
ConnectCustomKeyStore | Contrôle l'autorisation de connecter ou reconnecter un magasin de clés personnalisé à son cluster AWS CloudHSM associé ou à un gestionnaire de clés externe en dehors d'AWS. | Écrire | |||
CreateAlias | Contrôle l'autorisation de créer un alias pour une clé AWS KMS. Les alias sont des noms conviviaux facultatifs que vous pouvez associer à des clés KMS | Écrire | |||
CreateCustomKeyStore | Contrôle l'autorisation de créer un magasin de clés personnalisé soutenu par un cluster AWS CloudHSM ou un gestionnaire de clés externe en dehors d'AWS. | Écrire |
cloudhsm:DescribeClusters iam:CreateServiceLinkedRole |
||
CreateGrant | Contrôle l'autorisation d'ajouter un octroi à une clé AWS KMS. Vous pouvez utiliser des octrois pour ajouter des autorisations sans modifier la politique de clé ou la politique IAM. | Gestion des autorisations | |||
CreateKey | Contrôle l'autorisation de créer une clé AWS KMS qui peut être utilisée pour protéger les clés de données et d'autres informations sensibles | Écrire |
iam:CreateServiceLinkedRole kms:PutKeyPolicy kms:TagResource |
||
Decrypt | Contrôle l'autorisation de déchiffrer du texte chiffré à l'aide d'une clé AWS KMS | Écrire | |||
kms:EncryptionContext:${EncryptionContextKey} |
|||||
DeleteAlias | Contrôle l'autorisation de supprimer un alias. Les alias sont des noms conviviaux facultatifs que vous pouvez associer à des clés AWS KMS | Écrire | |||
DeleteCustomKeyStore | Contrôle l'autorisation de supprimer un magasin de clés personnalisé | Écrire | |||
DeleteImportedKeyMaterial | Contrôle l'autorisation de supprimer du contenu de chiffrement que vous avez importé dans une clé AWS KMS. Cette action rend la clé inutilisable. | Écriture | |||
DescribeCustomKeyStores | Contrôle l'autorisation d'afficher des informations détaillées sur les magasins de clés personnalisés dans le compte et la région | Lire | |||
DescribeKey | Contrôle l'autorisation d'afficher des informations détaillées sur une clé AWS KMS | Lire | |||
DisableKey | Contrôle l'autorisation de désactiver une clé AWS KMS, ce qui empêche celle-ci d'être utilisée dans des opérations de chiffrement | Écrire | |||
DisableKeyRotation | Contrôle l'autorisation de désactiver la rotation automatique d'une clé AWS KMS gérée par le client | Écrire | |||
DisconnectCustomKeyStore | Contrôle l'autorisation de déconnecter le magasin de clés personnalisé de son cluster AWS CloudHSM ou de son gestionnaire de clés externe en dehors d'AWS. | Écrire | |||
EnableKey | Contrôle l'autorisation de modifier l'état d'une clé AWS KMS sur Enabled (Activée). Cela permet à la clé KMS d'être utilisée dans des opérations de chiffrement | Écrire | |||
EnableKeyRotation | Contrôle l'autorisation d'activer la rotation automatique de l'élément de chiffrement dans une clé AWS KMS | Écrire | |||
Encrypt | Contrôle l'autorisation d'utiliser la clé AWS KMS spécifiée pour chiffrer des données et des clés de données | Écrire | |||
GenerateDataKey | Contrôle l'autorisation d'utiliser la clé AWS KMS pour générer des clés de données. Vous pouvez utiliser les clés de données pour chiffrer des données en dehors d'AWS KMS | Écrire | |||
kms:EncryptionContext:${EncryptionContextKey} |
|||||
GenerateDataKeyPair | Contrôle l'autorisation d'utiliser la clé AWS KMS pour générer des paires de clés de données | Écrire | |||
GenerateDataKeyPairWithoutPlaintext | Contrôle l'autorisation d'utiliser la clé AWS KMS pour générer des paires de clés de données. Contrairement à l'opération GenerateDataKeyPair, cette opération renvoie une clé privée chiffrée sans copie en texte brut. | Écrire | |||
GenerateDataKeyWithoutPlaintext | Contrôle l'autorisation d'utiliser la clé AWS KMS pour générer une clé de données. Contrairement à l'opération GenerateDataKey, cette opération renvoie une clé de données chiffrée sans version en texte brut de la clé de données. | Écrire | |||
GenerateMac | Contrôle l'autorisation d'utiliser la clé AWS KMS pour générer des codes d'authentification des messages | Écrire | |||
GenerateRandom | Contrôle l'autorisation d'obtenir une chaîne d'octets aléatoire sécurisée par chiffrement à partir d'AWS KMS | Écrire | |||
GetKeyPolicy | Contrôle l'autorisation d'afficher la politique de clé de la clé AWS KMS spécifiée | Lire | |||
GetKeyRotationStatus | Contrôle l'autorisation de déterminer si la rotation automatique des clés est activée sur la clé AWS KMS | Lire | |||
GetParametersForImport | Contrôle l'autorisation d'obtenir les données nécessaires pour importer un élément de chiffrement dans une clé gérée par le client, y compris une clé publique et un jeton d'importation | Lire | |||
GetPublicKey | Contrôle l'autorisation de télécharger la clé publique d'une clé AWS KMS asymétrique | Lire | |||
ImportKeyMaterial | Contrôle l'autorisation d'importer un élément de chiffrement dans une clé AWS KMS | Écrire | |||
ListAliases | Contrôle l'autorisation d'afficher les alias définis dans le compte. Les alias sont des noms conviviaux facultatifs que vous pouvez associer à des clés AWS KMS | Liste | |||
ListGrants | Contrôle l'autorisation d'afficher toutes les octrois d'une clé AWS KMS | Liste | |||
ListKeyPolicies | Contrôle l'autorisation d'afficher les noms des politiques d'une clé AWS KMS | Liste | |||
ListKeys | Contrôle l'autorisation d'afficher l'ID de clé et l'Amazon Resource Name (ARN) de toutes les clés AWS KMS dans le compte | Liste | |||
ListResourceTags | Contrôle l'autorisation d'afficher toutes les balises attachées à une clé AWS KMS. | Liste | |||
ListRetirableGrants | Contrôle l'autorisation d'afficher les octrois dans lesquels le principal spécifié est le principal de retrait. D'autres principaux peuvent retirer l'octroi, et ce principal peut retirer d'autres octrois. | Liste | |||
PutKeyPolicy | Contrôle l'autorisation de remplacer la politique de la clé AWS KMS spécifiée | Gestion des autorisations | |||
ReEncryptFrom | Contrôle l'autorisation de déchiffrer les données dans le cadre du processus qui déchiffre et rechiffre les données dans AWS KMS | Écriture | |||
ReEncryptTo | Contrôle l'autorisation de chiffrer les données dans le cadre du processus qui déchiffre et rechiffre les données dans AWS KMS | Écriture | |||
ReplicateKey | Contrôle l'autorisation de répliquer une clé primaire multi-régions | Écriture |
iam:CreateServiceLinkedRole kms:CreateKey kms:PutKeyPolicy kms:TagResource |
||
RetireGrant | Contrôle l'autorisation d'abandonner un octroi. L'opération RetireGrant est généralement appelée par l'utilisateur de l'octroi une fois qu'il a exécuté les tâches qu'il était autorisé à exécuter. | Gestion des autorisations | |||
RevokeGrant | Contrôle l'autorisation de révoquer un octroi, ce qui refuse l'exécution de toutes les opérations qui dépendent de l'octroi | Gestion des autorisations | |||
ScheduleKeyDeletion | Contrôle l'autorisation de planifier la suppression d'une clé AWS KMS | Écrire | |||
Sign | Contrôle l'autorisation de produire une signature numérique pour un message | Écriture | |||
SynchronizeMultiRegionKey [autorisation uniquement] | Contrôle l'accès aux API internes qui synchronisent les clés multi-régions | Écrire | |||
TagResource | Contrôle l'autorisation de créer ou de mettre à jour les balises attachées à une clé AWS KMS | Identification | |||
UntagResource | Contrôle l'autorisation de supprimer les balises attachées à une clé AWS KMS | Identification | |||
UpdateAlias | Contrôle l'autorisation d'associer un alias à une autre clé AWS KMS. Un alias est un nom convivial facultatif que vous pouvez associer à une clé KMS | Écrire | |||
UpdateCustomKeyStore | Contrôle l'autorisation de modifier les propriétés d'un magasin de clés personnalisé | Écrire | |||
UpdateKeyDescription | Contrôle l'autorisation de supprimer ou de modifier la description d'une clé AWS KMS | Écrire | |||
UpdatePrimaryRegion | Contrôle l'autorisation de mettre à jour la région principale d'une clé primaire multi-régions | Écrire | |||
Verify | Contrôle l'autorisation d'utiliser la clé AWS KMS spécifiée pour vérifier les signatures numériques | Écrire | |||
VerifyMac | Contrôle l'autorisation d'utiliser la clé AWS KMS pour vérifier les codes d'authentification des messages | Écrire | |||
Types de ressources définis par AWS Key Management Service
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource
élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Clés de condition pour AWS Key Management Service
AWS Key Management Service définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition
d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Clés de condition | Description | Type |
---|---|---|
aws:RequestTag/${TagKey} | Filtre l'accès aux opérations KMS AWS spécifiées en fonction de la clé et de la valeur de l'étiquette dans la requête. | Chaîne |
aws:ResourceTag/${TagKey} | Filtre l'accès aux opérations AWS KMS spécifiées en fonction des balises attribuées à la clé AWS KMS | Chaîne |
aws:TagKeys | Filtre l'accès aux opérations KMS AWS spécifiées en fonction des clés de l'étiquette dans la requête. | ArrayOfString |
kms:BypassPolicyLockoutSafetyCheck | Filtre l'accès aux opérations CreateKey et PutKeyPolicy en fonction de la valeur du paramètre BypassPolicyLockoutSafetyCheck dans la demande | Booléen |
kms:CallerAccount | Filtre l'accès aux opérations AWS KMS spécifiées en fonction de l'ID de compte Compte AWS de l'appelant. Vous pouvez utiliser cette clé de condition pour autoriser ou refuser l'accès à tous les utilisateurs et rôles IAM d'un Compte AWS en une seule déclaration de politique | Chaîne |
kms:CustomerMasterKeySpec | La clé de condition kms:CustomerMasterKeySpec est obsolète. Utilisez plutôt la clé de condition kms:KeySpec | Chaîne |
kms:CustomerMasterKeyUsage | La clé de condition kms:CustomerMasterKeyUsage est obsolète. Utilisez plutôt la clé de condition kms:KeyUsage | Chaîne |
kms:DataKeyPairSpec | Filtre l'accès aux opérations GenerateDataKeyPair et GenerateDataKeyPairWithoutPlaintext en fonction de la valeur du paramètre DataKeyPairSpec dans la demande. | Chaîne |
kms:EncryptionAlgorithm | Filtre l'accès aux opérations de chiffrement en fonction de la valeur de l'algorithme de chiffrement dans la demande | Chaîne |
kms:EncryptionContext:${EncryptionContextKey} | Filtre l'accès à une clé AWS KMS symétrique basée sur le contexte de chiffrement dans une opération de chiffrement. Cette condition évalue la clé et la valeur dans chaque paire de contexte de chiffrement clé-valeur | Chaîne |
kms:EncryptionContextKeys | Filtre l'accès à une clé AWS KMS symétrique basée sur le contexte de chiffrement dans une opération de chiffrement. Cette clé de condition n'évalue que la clé dans chaque paire de contexte de chiffrement clé-valeur | ArrayOfString |
kms:ExpirationModel | Filtre l'accès à l'opération ImportKeyMaterial en fonction de la valeur du paramètre ExpirationModel dans la demande | Chaîne |
kms:GrantConstraintType | Filtre l'accès à l'opération CreateGrant en fonction de la contrainte d'octroi dans la demande | Chaîne |
kms:GrantIsForAWSResource | Filtre l'accès à l'opération CreateGrant lorsque la demande provient d'un service AWS spécifié | Booléen |
kms:GrantOperations | Filtre l'accès à l'opération CreateGrant en fonction des opérations dans l'octroi | ArrayOfString |
kms:GranteePrincipal | Filtre l'accès à l'opération CreateGrant en fonction du principal bénéficiaire dans l'octroi | Chaîne |
kms:KeyOrigin | Filtre l'accès à une opération d'API en fonction de la propriété Origin de la clé AWS KMS créée par ou utilisée dans l'opération Utilisez ce paramètre pour qualifier l'autorisation de l'opération CreateKey ou de toute opération autorisée pour une clé KMS | Chaîne |
kms:KeySpec | Filtre l'accès à une opération d'API en fonction de la propriété KeySpec de la clé AWS KMS créée par ou utilisée dans l'opération. Utilisez ce paramètre pour qualifier l'autorisation de l'opération CreateKey ou de toute opération autorisée pour une ressource de clé KMS | Chaîne |
kms:KeyUsage | Filtre l'accès à une opération d'API en fonction de la propriété KeyUsage de la clé AWS KMS créée par ou utilisée dans l'opération Utilisez ce paramètre pour qualifier l'autorisation de l'opération CreateKey ou de toute opération autorisée pour une ressource de clé KMS | Chaîne |
kms:MacAlgorithm | Filtre l'accès aux opérations GenerateMac et VerifyMac en fonction du paramètre MacAlgorithm de la demande | Chaîne |
kms:MessageType | Filtre l'accès aux opérations Sign et Verify en fonction de la valeur du paramètre MessageType de la demande | Chaîne |
kms:MultiRegion | Filtre l'accès à une opération d'API en fonction de la propriété MultiRegion de la clé AWS KMS créée par ou utilisée dans l'opération. Utilisez ce paramètre pour qualifier l'autorisation de l'opération CreateKey ou de toute opération autorisée pour une ressource de clé KMS | Booléen |
kms:MultiRegionKeyType | Filtre l'accès à une opération d'API en fonction de la propriété MultiRegionKeyType de la clé AWS KMS créée par ou utilisée dans l'opération. Utilisez ce paramètre pour qualifier l'autorisation de l'opération CreateKey ou de toute opération autorisée pour une ressource de clé KMS | Chaîne |
kms:PrimaryRegion | Filtre l'accès à l'opération UpdatePrimaryRegion en fonction de la valeur du paramètre PrimaryRegion dans la demande | Chaîne |
kms:ReEncryptOnSameKey | Filtre l'accès à l'opération ReEncrypt lorsque celle-ci utilise la même clé AWS KMS que celle utilisée pour l'opération Encrypt | Booléen |
kms:RecipientAttestation:ImageSha384 | Filtre l'accès aux opérations Decrypt, GenerateDataKey et GenerateRandom en fonction du hachage de l'image dans le document d'attestation de la demande | Chaîne |
kms:RecipientAttestation:PCR | Filtre l'accès aux opérations Decrypt, GenerateDataKey et GenerateRandom en fonction des registres de configuration de la plate-forme (PCR) figurant dans le document d'attestation de la demande | Chaîne |
kms:ReplicaRegion | Filtre l'accès à l'opération ReplicateKey en fonction de la valeur du paramètre ReplicaRegion dans la demande | Chaîne |
kms:RequestAlias | Filtre l'accès aux opérations cryptographiques, DescribeKey et GetPublicKey en fonction de l'alias dans la requête | Chaîne |
kms:ResourceAliases | Filtre l'accès aux opérations AWS KMS spécifiées en fonction des alias associés à la clé AWS KMS | ArrayOfString |
kms:RetiringPrincipal | Filtre l'accès à l'opération CreateGrant en fonction du principal de retrait dans l'octroi | Chaîne |
kms:ScheduleKeyDeletionPendingWindowInDays | Filtre l'accès à l'opération ScheduleKeyDeletion en fonction de la valeur du paramètre PendingWindowInDays dans la demande | Numérique |
kms:SigningAlgorithm | Filtre l'accès aux opérations Sign et Verify en fonction de l'algorithme de signature dans la demande | Chaîne |
kms:ValidTo | Filtre l'accès à l'opération ImportKeyMaterial en fonction de la valeur du paramètre ValidTo dans la demande Vous pouvez utiliser cette clé de condition pour autoriser les utilisateurs à importer l'élément de clé uniquement lorsqu'il expire à la date spécifiée. | Date |
kms:ViaService | Filtre l'accès lorsqu'une demande effectuée au nom du mandataire provient d'un service AWS spécifié. | Chaîne |
kms:WrappingAlgorithm | Filtre l'accès à l'opération GetParametersForImport en fonction de la valeur du paramètre WrappingAlgorithm dans la demande. | Chaîne |
kms:WrappingKeySpec | Filtre l'accès à l'opération GetParametersForImport en fonction de la valeur du paramètre WrappingKeySpec dans la demande | Chaîne |