Examen des octrois - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen des octrois

Les subventions sont des mécanismes avancés permettant de spécifier les autorisations que vous ou un AWS service intégré AWS KMS pouvez utiliser pour spécifier comment et quand une clé KMS peut être utilisée. Les octrois sont attachés à une clé KMS et chaque octroi contient le principal qui reçoit l'autorisation d'utiliser la clé KMS et la liste des opérations autorisées. Les octrois représentent une alternative à la politique de clé et sont utiles pour des cas d'utilisation spécifiques. Pour de plus amples informations, veuillez consulter Subventions en AWS KMS.

Pour obtenir une liste des autorisations pour une clé KMS, utilisez l' AWS KMS ListGrantsopération. Vous pouvez examiner les octrois définis pour une clé KMS afin de déterminer qui a actuellement accès à la clé KMS pour l'utiliser via ces octrois. Par exemple, ce qui suit est une représentation JSON d'un octroi qui a été obtenu à partir de la commande list-grants dans l' AWS CLI.

{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}

Pour identifier qui a accès à la clé KMS pour l'utiliser, recherchez l'élément "GranteePrincipal". Dans l'exemple précédent, le principal bénéficiaire est un utilisateur du rôle assumé associé à l'instance EC2 i-5d476fab. L'infrastructure EC2 utilise ce rôle pour attacher le volume EBS chiffré vol-5cccfb4e à l'instance. Dans ce cas, le rôle d'infrastructure EC2 a l'autorisation d'utiliser la clé KMS, parce que vous avez créé précédemment un volume EBS chiffré protégé par cette clé KMS. Puis, vous avez attaché le volume à une instance EC2.

Ce qui suit est un autre exemple de représentation JSON d'un octroi qui a été obtenu à partir de la commande list-grants dans l' AWS CLI. Dans l'exemple suivant, le directeur du bénéficiaire est un autre Compte AWS.

{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}