Je souhaite mettre à jour une stratégie de clé AWS KMS dans AWS Key Management Service (AWS KMS). J’ai vérifié que je disposais bien des autorisations d’administrateur pour mes identités AWS Identity and Access Management (IAM) (utilisateurs, groupes et rôles). Cependant, je n’arrive pas à lire ni à mettre à jour la stratégie de clé KMS.
Brève description
Les principaux IAM doivent disposer de l’autorisation d’action d’API GetKeyPolicy pour lire une stratégie de clé et PutKeyPolicy pour mettre à jour une stratégie. Ces autorisations sont accordées soit directement avec la stratégie de clé, soit par une combinaison de la clé et des politiques IAM. Pour plus d’informations, consultez AWS Key Management Service.
La politique IAM relative à la clé AWS KMS par défaut contient une instruction similaire à la suivante :
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}
Les entités IAM pour le compte AWS 111122223333 peuvent effectuer toutes les actions AWS KMS autorisées dans la politique ci-jointe. Parfois, les entités ne peuvent pas effectuer d’actions d’API comme GetKeyPolicy ou PutKeyPolicy même si les stratégies associées incluent les autorisations. Pour corriger cette erreur, vérifiez si l’instruction « Activer les autorisations utilisateur IAM » a été modifiée.
Résolution
Vérifier les autorisations relatives à la politique IAM
Assurez-vous que vos entités IAM sont autorisées à lire et à mettre à jour une clé AWS KMS similaire à cette politique IAM :
{ "Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
Utiliser l’historique des événements CloudTrail
- Ouvrez la console AWS CloudTrail, puis choisissez Historique des événements.
- Déroulez la liste déroulante Attributs de recherche et sélectionnez Nom de l’événement.
- Dans la fenêtre de recherche, saisissez PutKeyPolicy.
- Ouvrez l’événement PutKeyPolicy le plus récent.
- Dans Enregistrement d’événement, copiez la politique et collez-la dans votre éditeur de texte préféré.
- Analysez la politique dans un format lisible.
- Dans la politique IAM Sid « Autoriser l’accès pour les administrateurs clés », notez les administrateurs d’identité IAM comme suit :
{ "Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
Les administrateurs de clés peuvent ensuite être utilisés pour récupérer l’accès à la clé.
Utiliser les requêtes Athena
Si l’historique des événements CloudTrail remonte à 90 jours, vous pouvez utiliser Amazon Athena pour effectuer une recherche dans les journaux CloudTrail. Pour obtenir des instructions, consultez Utiliser la console CloudTrail pour créer une table Athena pour les journaux CloudTrail.
Pour plus d’informations, consultez Comment puis-je créer automatiquement des tables dans Athena pour effectuer des recherches dans les journaux CloudTrail ?
Informations connexes
Clés d’accès sécurisées
Concepts d’AWS KMS