Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Contrôler l'accès à la suppression des clés
<a name="deleting-keys-adding-permission"></a>

Si vous utilisez des politiques IAM pour accorder AWS KMS des autorisations, les identités IAM disposant d'un accès AWS administrateur (`"Action": "*"`) ou d'un accès AWS KMS complet (`"Action": "kms:*"`) sont déjà autorisées à planifier et à annuler la suppression des clés KMS. Pour permettre aux administrateurs clés de planifier et d'annuler la suppression des clés dans la politique des clés, utilisez la AWS KMS console ou l' AWS KMS API. 

En général, seuls les administrateurs de clés sont autorisés à planifier ou à annuler la suppression des clés. Vous pouvez toutefois accorder ces autorisations à d'autres identités IAM en ajoutant les autorisations `kms:ScheduleKeyDeletion` et `kms:CancelKeyDeletion` à la politique de clé ou à une politique IAM. Vous pouvez également utiliser la clé de [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)condition pour restreindre davantage les valeurs que les principaux peuvent spécifier dans le `PendingWindowInDays` paramètre d'une [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)demande.

## Permettre aux administrateurs clés de planifier et d'annuler la suppression des clés
<a name="allow-key-deletion"></a>

### Utilisation de la AWS KMS console
<a name="deleting-keys-adding-permission-console"></a>

Autoriser les administrateurs de clés à planifier et annuler une suppression de clé.

1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, choisissez **Clés gérées par le client**.

1. Choisissez l'alias ou l'ID de clé de la clé KMS dont vous voulez modifier les autorisations.

1. Choisissez l'onglet **Key policy** (Politique de clé).

1. L'étape suivante diffère en ce qui concerne l'*affichage par défaut* et l'*affichage des politiques* de votre politique de clé. La vue par défaut n'est disponible que si vous utilisez la politique de clé de console par défaut. Dans le cas contraire, seul l'affichage des politiques est disponible.

   Lorsque la vue par défaut est disponible, un bouton **Switch to policy view** (Passer à la vue de politique) ou **Switch to default view** (Passer à la vue par défaut) apparaît dans l'onglet **Key policy** (Politique de clé).
   + Dans la vue par défaut :

     1. Sous **Key deletion** (Suppression de clé), sélectionnez **Allow key administrators to delete this key** (Autoriser les administrateurs de clé à supprimer cette clé).
   + Dans la vue de politique :

     1. Choisissez **Edit** (Modifier).

     1. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations `kms:ScheduleKeyDeletion` et `kms:CancelKeyDeletion` à l'élément `Action`.

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Sélectionnez **Enregistrer les modifications**.

### Utilisation de l' AWS KMS API
<a name="deleting-keys-adding-permission-cli"></a>

Vous pouvez utiliser le AWS Command Line Interface pour ajouter des autorisations de planification et d'annulation de la suppression de clés.

**Pour ajouter une autorisation pour planifier et annuler une suppression de clé**

1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) pour récupérer la politique de clé existante, puis enregistrez le document de politique dans un fichier.

1. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Dans l'instruction de politique destinée aux administrateurs de clés, ajoutez les autorisations `kms:ScheduleKeyDeletion` et `kms:CancelKeyDeletion`. L'exemple suivant montre une déclaration de politique avec les deux autorisations suivantes :

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) pour appliquer la politique de clé à la clé KMS.