

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration AWS KMS clés pour AWS Support autorisation
<a name="support-authorization-kms"></a>

## Exigences relatives aux clés
<a name="support-authorization-kms-requirements"></a>

Une AWS KMS clé gérée par le client est requise pour la signature cryptographique des permis de support. Votre clé doit répondre aux exigences suivantes :
+ Spécification clé : `ECC_NIST_P384`
+ Utilisation des clés : `SIGN_VERIFY`
+ La clé doit se trouver dans la même AWS région que le permis d'assistance.

Le contenu de votre clé privée ne part jamais AWS KMS. Vous créez une subvention sur votre clé qui lui permet d'appeler `DescribeKey``GetPublicKey`, et`Sign`. La subvention est limitée au permis de soutien et prend fin lorsque le permis de soutien est supprimé ou désactivé.

## Comment ? AWS Support l'autorisation utilise votre AWS KMS clé
<a name="support-authorization-kms-how-used"></a>

Lorsque vous créez un permis de support, votre AWS KMS clé est utilisée de la manière suivante :

1. [Utilise des sessions d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) transféré pour appeler `DescribeKey` en votre nom, en vérifiant que la clé répond aux spécifications (`ECC_NIST_P384`) et à l'utilisation (`SIGN_VERIFY`) requises.

1. Crée une subvention sur la clé en appelant `CreateGrant` en votre nom. La subvention permet `DescribeKey``GetPublicKey`, et les `Sign` opérations.

1. Vérifie l'autorisation lorsqu'une AWS Support demande correspond à un permis de support existant en utilisant la subvention pour appeler `Sign` la clé. La signature qui en résulte vérifie que vous AWS Support êtes autorisé à effectuer l'action.

## Déclarations de politique clés requises
<a name="support-authorization-kms-policy"></a>

Ajoutez les déclarations de politique suivantes à votre politique AWS KMS principale. Il s'agit des autorisations minimales requises pour AWS Support pouvoir utiliser votre clé.

```
{
  "Sid": "Allows access to CreateGrant through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:CreateGrant"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
      "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
      "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
    },
    "ForAllValues:StringEquals": {
      "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"]
    },
    "ArnLike": {
      "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*"
    }
  }
},
{
  "Sid": "Allows access to DescribeKey through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:DescribeKey"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
    }
  }
}
```

Ces instructions accordent les autorisations suivantes :

CreateGrant  
Permet la création de subventions pour `DescribeKey``GetPublicKey`, et les `Sign` opérations. Les conditions limitent la création de subventions aux demandes effectuées par le biais du service AWS Support d'autorisation et dont le champ d'application est limité à la prise en charge des ressources liées aux permis dans votre compte. AWS Support l'autorisation utilise [des sessions d'accès direct](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) à appeler dans `CreateGrant` le cadre de la création d'un permis de support.

DescribeKey  
Permet de vérifier que la clé répond aux spécifications et au type d'utilisation requis lorsque vous créez un permis d'assistance à l'aide de sessions d'accès direct.

**Note**  
`111122223333`Remplacez-le par votre numéro de AWS compte et `us-east-1` par la AWS région dans laquelle vous créez vos permis de support.

## Révocation AWS Support autorisation d'accès
<a name="support-authorization-kms-revoke"></a>

La méthode recommandée pour révoquer les autorisations de signature associées à votre clé est de révoquer l'autorisation. Cela empêche d'autres opérations de signature sans affecter les autres utilisations de la clé.

Pour répertorier et révoquer des AWS Support autorisations, procédez comme suit :

1. Répertoriez les subventions sur la clé pour trouver l'identifiant de la subvention :

   ```
   aws kms list-grants \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
   ```

   Identifiez la subvention par son nom ou par l'ARN `GrantConstraints` source qui fait référence à votre permis de support.

1. Révoquer la subvention :

   ```
   aws kms revoke-grant \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --grant-id grant-id-from-list-grants
   ```

Une fois que vous avez révoqué la subvention, de nouvelles autorisations signées ne peuvent plus être émises pour les permis de support utilisant cette clé. Étant donné que l' AWS KMS API suit un modèle de cohérence éventuel, il se peut qu'il y ait un bref délai avant que la modification ne soit disponible dans son intégralité AWS KMS.

**Note**  
La révocation d'une subvention ne supprime pas le permis de soutien associé. Le permis de support reste à l'état ACTIF, mais les autorisations ne peuvent pas être signées pour celui-ci. Les subventions sont spécifiques à chaque permis de soutien. La création d'un nouveau permis de support avec la même AWS KMS clé ne rétablit pas la capacité de l' AWS Support autorisation à utiliser la clé pour le permis de support d'origine.

## Désactiver ou supprimer la clé
<a name="support-authorization-kms-disable-delete"></a>

Vous pouvez également désactiver ou planifier la suppression de la AWS KMS clé pour empêcher l' AWS Support autorisation d'émettre des autorisations signées. Toutefois, cela concerne toutes les utilisations de la clé, et pas seulement AWS Support l'autorisation.

**Important**  
Les deux AWS KMS et AWS Support l'autorisation sont finalement cohérents. Une fois que vous avez désactivé ou planifié la suppression d'une clé, plusieurs minutes peuvent être nécessaires pour que la modification prenne pleinement effet. Pendant cette période, les autorisations signées peuvent continuer à être émises à l'aide de la clé. La révocation des subventions est également cohérente en fin de compte.

Si vous désactivez une touche, vous pouvez la réactiver dans la AWS KMS console ou en appelant`EnableKey`. Si vous supprimez une clé, elle ne peut pas être récupérée.

## Surveillance de l'utilisation des clés
<a name="support-authorization-kms-monitoring"></a>

Lorsque votre AWS KMS clé est utilisée pour signer une autorisation, AWS CloudTrail enregistre l'opération de signature dans l'historique des événements de la clé. Vous pouvez utiliser ces événements pour vérifier quand et à quelle fréquence les autorisations sont signées en votre nom.