Utilisation du contexte de chiffrement - Kit SDK Amazon Chime
Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du contexte de chiffrement

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement pour prendre en charge le chiffrement authentifié.

Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.

L'analyse vocale utilise le même contexte de chiffrement dans toutes les opérations cryptographiques AWS KMS, où la clé aws:chime:voice-profile-domain:arn et la valeur sont le nom de ressource Amazon (ARN) de la ressource.

L'exemple suivant illustre un contexte de chiffrement typique.

"encryptionContext": {
    "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
}

Vous pouvez également utiliser le contexte de chiffrement dans les enregistrements d’audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par CloudTrail ou dans CloudWatch les journaux.

Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé

Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.

L'analyse vocale utilise une contrainte de contexte de chiffrement dans les autorisations afin de contrôler l'accès aux clés gérées par le client dans votre compte ou votre région. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.

Les exemples de déclarations de politique clés suivants accordent l'accès à une clé gérée par le client pour un contexte de chiffrement spécifique. La condition énoncée dans la déclaration de politique exige que les autorisations soient assorties d'une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable CreateGrant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
        }
    }
}