

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Examen des politiques IAM
<a name="determining-access-iam-policies"></a>

Outre la politique de clé et les octrois, vous pouvez utiliser des [politiques IAM](iam-policies.md) pour autoriser l'accès à une clé KMS. Pour plus d'informations sur la manière dont les politiques de clé et les politiques IAM fonctionnent ensemble, veuillez consulter [AWS KMS Permissions de résolution des](policy-evaluation.md).

Pour déterminer quels principaux ont actuellement accès à une clé KMS via les politiques IAM, vous pouvez utiliser l'outil [simulateur de politiques IAM](https://policysim.aws.amazon.com/) basé sur le navigateur ou vous pouvez adresser des demandes à l'API IAM.

**Contents**
+ [Examen des politiques IAM avec le simulateur de politiques IAM](#determining-access-iam-policy-simulator)
+ [Examen des politiques IAM avec l'API IAM](#determining-access-iam-api)

## Examen des politiques IAM avec le simulateur de politiques IAM
<a name="determining-access-iam-policy-simulator"></a>

Le simulateur de politiques IAM peut vous aider à découvrir quels principaux ont accès à une clé KMS via une politique IAM.

**Pour utiliser le simulateur de politiques IAM pour déterminer l'accès à une clé KMS**

1. Connectez-vous au simulateur de politique IAM, AWS Management Console puis ouvrez-le à [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/) l'adresse.

1. Dans le volet **Users, Groups, and Roles**, choisissez l'utilisateur, le groupe ou le rôle dont vous souhaitez simuler les politiques.

1. (Facultatif) Décochez les cases en regard de toutes les politiques que vous souhaitez ignorer pour la simulation. Pour simuler toutes les politiques, laissez toutes les politiques sélectionnées.

1. Dans le volet **Policy Simulator**, procédez comme suit :

   1. Pour **Select service**, choisissez **Key Management Service**.

   1. Pour simuler des AWS KMS actions spécifiques, pour **Sélectionner des actions**, choisissez les actions à simuler. Pour simuler toutes les AWS KMS actions, choisissez **Tout sélectionner**.

1. (Facultatif) Le simulateur de politiques simule l'accès à toutes les clés KMS par défaut. Pour simuler l'accès à une clé KMS spécifique, sélectionnez **Simulation Settings (Paramètres de simulation)**, puis saisissez l'Amazon Resource Name (ARN) de la clé KMS à simuler.

1. Choisissez **Exécuter la simulation**.

Vous pouvez afficher les résultats de la simulation dans la section **Résultats**. Répétez les étapes 2 à 6 pour chaque utilisateur, groupe et rôle figurant dans le Compte AWS.

## Examen des politiques IAM avec l'API IAM
<a name="determining-access-iam-api"></a>

Vous pouvez utiliser l'API IAM pour examiner par programmation les politiques IAM. Les étapes suivantes offrent une présentation générale de la façon de procéder :

1. Pour chaque utilisateur Compte AWS répertorié en tant que principal dans la politique clé (c'est-à-dire chaque [principal de AWS compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) spécifié dans ce format :`"Principal": {"AWS": "arn:aws:iam::111122223333:root"}`), utilisez les [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)opérations [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)et de l'API IAM pour obtenir tous les utilisateurs et rôles du compte.

1. Pour chaque utilisateur et chaque rôle de la liste, utilisez l'[SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)opération de l'API IAM en transmettant les paramètres suivants :
   + Pour `PolicySourceArn`, spécifiez le nom ARN (Amazon Resource Name) d'un utilisateur ou d'un rôle figurant dans votre liste. Vous ne pouvez spécifier qu'un seul nom `PolicySourceArn` pour chaque demande `SimulatePrincipalPolicy`. Vous devez donc appeler cette opération plusieurs fois, une fois pour chaque utilisateur et rôle de votre liste.
   + Pour la `ActionNames` liste, spécifiez chaque action d' AWS KMS API à simuler. Pour simuler toutes les actions de AWS KMS l'API, utilisez`kms:*`. Pour tester des actions AWS KMS d'API individuelles, faites précéder chaque action d'API de `kms:` « », par exemple « `kms:ListKeys` ». Pour obtenir la liste complète des actions de l'API AWS KMS , consultez [Actions](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) dans la *référence d'API AWS Key Management Service *.
   + (Facultatif) Pour déterminer si les utilisateurs ou les rôles ont accès à des clés KMS spécifiques, utilisez le `ResourceArns` paramètre pour spécifier une liste des Amazon Resource Names (ARNs) des clés KMS. Pour déterminer si les utilisateurs ou les rôles ont accès à une clé KMS quelconque, omettez le paramètre `ResourceArns`.

IAM répond à chaque demande `SimulatePrincipalPolicy` avec une décision d'évaluation : `allowed`, `explicitDeny` ou `implicitDeny`. Pour chaque réponse contenant une décision d'évaluation de`allowed`, la réponse inclut le nom de l'opération d' AWS KMS API spécifique autorisée. Elle inclut également l'ARN de la clé KMS qui a été utilisée dans l'évaluation, le cas échéant.