Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrer les ressources dans les autorisations vérifiées d'Amazon
Amazon Verified Permissions fournit un chiffrement par défaut pour protéger les données sensibles des clients au repos à l'aide de clés de chiffrement AWS détenues par nos soins. Comme couche de protection supplémentaire, Amazon Verified Permissions vous permet de chiffrer vos magasins de polices à l'aide de AWS Key Management Service (AWS KMS) clé gérée par le client s (CMK). Cette fonctionnalité garantit la protection des données sensibles grâce au chiffrement au repos, ce qui vous permet de :
-
Réduisez la charge opérationnelle de votre application afin de protéger les données sensibles
-
Gardez le contrôle sur qui peut consulter les détails de vos politiques d'autorisation via vos propres AWS KMS clé gérée par le client
-
Créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement
Les sections suivantes expliquent comment configurer le chiffrement pour les nouveaux magasins de politiques et comment gérer vos clés de chiffrement.
AWS KMS Types de clés pour les autorisations vérifiées par Amazon
Amazon Verified Permissions s'intègre AWS KMS pour gérer les clés de chiffrement utilisées pour les données des encrypting/decrypting clients. Pour plus d’informations sur les types de clés et leurs états, consultez Concepts AWS Key Management Service dans le Guide du développeur AWS KMS . Lorsque vous créez un nouveau magasin de politiques, vous pouvez choisir parmi les types de AWS KMS clés suivants pour chiffrer vos données :
AWS Clé possédée
Type de chiffrement par défaut. Amazon Verified Permissions détient la clé sans frais supplémentaires pour vous et chiffre les données des ressources au repos lors de leur création. Aucune configuration supplémentaire n'est requise dans votre code ou dans les applications de encrypt/decrypt vos données à l'aide de la clé détenue par Verified Permissions.
Clé gérée par le client
Vous créez, détenez et gérez la clé de votre AWS compte. Vous avez le contrôle total de la AWS KMS clé. AWS KMS des frais s'appliquent pour clé gérée par le client nous. Pour plus d’informations, consultez la page Tarification d’AWS KMS
Lorsque vous spécifiez un chiffrement clé gérée par le client pour les ressources de haut niveau (c'est-à-dire le magasin de politiques), Verified Permissions chiffre la ressource, ainsi que ses ressources secondaires, avec cette clé. Pour chiffrer un magasin de politiques à l'aide d'un clé gérée par le client, vous devez accorder l'accès aux autorisations vérifiées dans votre politique clé. Une politique clé est une politique basée sur les ressources que vous associez à votre politique pour contrôler clé gérée par le client l'accès à celle-ci. Pour plus d’informations, consultez Autoriser l'utilisation de votre AWS KMS clé pour les autorisations vérifiées par Amazon.
En outre, pour créer un magasin de règles chiffré avec un clé gérée par le client, ou pour effectuer des appels d'API vers un magasin de politiques chiffré par un clé gérée par le client, l'utilisateur ou le rôle IAM qui effectue l'appel doit également avoir accès à la clé. Si Verified Permissions ne parvient pas à accéder à la clé, toute décision d'autorisation impliquant des ressources chiffrées par cette clé peut être périmée ou inexacte. Si vous n'avez pas accès à la clé, vous ne pourrez pas accéder aux read/update/delete ressources chiffrées par cette clé, et tout appel de création visant à utiliser la clé à des fins de chiffrement échouera.
Note
Le chiffrement des autorisations vérifiées au repos est disponible dans toutes les AWS régions où les autorisations vérifiées sont disponibles.
Important
Une fois que clé gérée par le client a été utilisé pour chiffrer un magasin de règles, vous NE POUVEZ PAS mettre à jour la ressource pour utiliser une autre clé pour le chiffrement ou supprimer la clé de ce magasin de politiques.
Utilisation AWS KMS et clés de données avec autorisations vérifiées par Amazon
La fonctionnalité de chiffrement au repos d'Amazon Verified Permissions utilise une AWS KMS clé et une hiérarchie de clés de données pour protéger les données de vos ressources.
Note
Amazon Verified Permissions ne prend en charge que AWS KMS les clés symétriques. Vous ne pouvez pas utiliser de AWS KMS clé asymétrique pour chiffrer vos ressources Amazon Verified Permissions.
Utilisation de clés AWS détenues
Amazon Verified Permissions chiffre toutes les ressources par défaut à l'aide de clés AWS détenues. Ces clés sont gratuites et peuvent être modifiées chaque année afin de protéger les ressources de votre compte. Vous n’avez pas besoin de consulter, de gérer, d’utiliser ni d’auditer ces clés. Aucune action n’est donc requise pour la protection des données. Pour plus d'informations sur les clés AWS détenues, consultez la section clés AWS détenues dans le Guide du AWS KMS développeur.
Utilisation de clés gérées par le client
La sélection d'un clé gérée par le client pour le chiffrement offre les avantages suivants :
-
Vous créez et gérez la AWS KMS clé, notamment en définissant les politiques clés et IAM les politiques pour contrôler l'accès à la AWS KMS clé. Vous pouvez activer et désactiver la AWS KMS clé, activer et désactiver la rotation automatique des touches et supprimer la AWS KMS clé lorsqu'elle n'est plus utilisée.
-
Vous pouvez en utiliser un clé gérée par le client avec du matériel clé importé ou clé gérée par le client dans un magasin de clés personnalisé que vous possédez et gérez.
-
Vous pouvez vérifier le chiffrement et le déchiffrement de vos ressources d'autorisations vérifiées en examinant les appels d'API Amazon Verified Permissions envoyés AWS KMS dans AWS CloudTrail les journaux.
Pour Amazon Verified Permissions, vous pouvez utiliser votre clé gérée par le client s pour les encryption/decryption, you will need to add specific key policies to allow Amazon Verified Permissions to encrypt/decrypt ressources en votre nom.
Autoriser l'utilisation de votre AWS KMS clé pour les autorisations vérifiées par Amazon
Amazon Verified Permissions nécessite au minimum les autorisations suivantes sur un clé gérée par le client :
kms:Encryptkms:GenerateDataKeyWithoutPlaintextkms:DescribeKeykms:ReEncryptTokms:ReEncryptFromkms:Decrypt
Vous trouverez ci-dessous un exemple de politique clé :
{ "Sid": "Enable AVP to use the KMS key for encrypting project J.A.K. policy resources", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*" }
Comprendre le contexte de la source
Le contexte source fournit des informations sur l'appelant source qui tente d'effectuer des AWS KMS actions sur une clé donnée. Cela permet d'éviter toute confusion ou toute utilisation abusive des données cryptées en liant le contexte à la source des données.
Les clients peuvent utiliser le contexte source comme conditions supplémentaires relatives à leur politique principale, telles que les déclarations de politique clés suivantes :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } } ] }
Cette politique clé permet à Verified Permissions de AWS KMS passer des appels en votre nom, si le compte source est le même que le compte sur AWS KMS lequel réside cette clé. Ces valeurs doivent être vérifiables lors de la AWS CloudTrail vérification des journaux d'audit pour la clé CMK. Pour plus d'informations sur les clés de AWS condition globales, consultez la section Utilisation des clés de aws:SourceAccount condition aws:SourceArn ou de condition.
Comprendre le contexte de chiffrement
Le contexte de chiffrement est un ensemble de paires clé-valeur qui contiennent des données authentifiées supplémentaires pour les contrôles d'intégrité du chiffrement. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.
Amazon Verified Permissions utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques et peut être vérifiée dans les AWS CloudTrail journaux lorsque Verified Permissions passe des AWS KMS appels en votre nom pour encryption/decryption des processus. Par défaut, Verified Permissions utilise les paires clé-valeur du contexte de chiffrement suivantes pour chiffrer vos ressources :
{ "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }
Amazon Verified Permissions vous permet également d'ajouter un contexte de chiffrement personnalisé dans le cadre des métadonnées supplémentaires que vous souhaitez inclure au cours des encryption/decryption processus. Cela signifie que votre politique clé peut être plus précise en matière d'octroi d'autorisations, comme dans l'exemple ci-dessous :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
Cette politique de clé permet à Verified Permissions de passer des AWS KMS appels en votre nom, si la carte du contexte de chiffrement contient une clé aws:verifiedpermissions:policy-store-arn dont la valeur suit le format de arn:aws:verifiedpermissions::111122223333:policy-store/* et contient également une paire clé-valeur. "policy_owner": "Tim" Découvrez Création d'un magasin de politiques crypté comment définir un contexte de chiffrement personnalisé.
Note
Il est recommandé que les politiques clés dont les conditions sont basées sur le contexte de chiffrement concernent un sous-ensemble de la carte du contexte de chiffrement, plutôt que de vérifier chaque paire clé-valeur. Le service et ses dépendances en amont peuvent ajouter des paires clé-valeur supplémentaires qui ne sont pas visibles pour vous, et peuvent affecter l'accès aux clés des autorisations vérifiées si la politique des clés l'autorise de manière conditionnelle en fonction de l'apparence exacte de la carte du contexte de chiffrement.
Compréhension kms: ViaService
La clé de kms:ViaService condition limite l'utilisation d'une AWS KMS clé aux demandes émanant de AWS services spécifiques. Cette clé de condition s'applique uniquement aux sessions d'accès direct (FAS). Pour plus d'informations surkms:ViaService, voir kms : ViaService dans le manuel du AWS KMS développeur.
Par exemple, la déclaration de politique clé suivante utilise la clé de kms:ViaService condition pour autoriser l'utilisation de a clé gérée par le clientpour les actions spécifiées uniquement lorsque la demande provient d'Amazon Verified Permissions dans la région USA Est (Virginie du Nord) au nom deBrentRole.
{ "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] } } }
Cela est nécessaire pour que Verified Permissions puisse transmettre votre identité, vos autorisations et vos attributs de session lorsque Verified Permissions fait une demande de AWS KMS chiffrement/déchiffrement en votre nom. Pour plus d'informations sur les demandes FAS, consultez la section Sessions d'accès transféré dans le guide de l'IAM utilisateur.
Politique AWS KMS clé complète
Sur la base des concepts présentés dans les sections précédentes, voici un exemple de politique clé qui permettra à Amazon Verified Permissions d'utiliser une clé CMK pour le chiffrement/déchiffrement :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable this account full access to this key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable AVP to retrieve this key's metadata", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources utilizing this key", "Effect": "Allow", "Principal": { "Service": "verifiedpermissions.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim", "aws:SourceArn": "arn:aws:verifiedpermissions::111122223333:policy-store/*" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "Enable AVP to encrypt/decrypt resources using credentials of BrentRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/BrentRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "verifiedpermissions.us-east-1.amazonaws.com" ] }, "StringLike": { "kms:EncryptionContext:aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/*", "kms:EncryptionContext:policy_owner": "Tim" } } } ] }
Avertissement
Faites preuve de prudence lorsque vous modifiez AWS KMS les politiques relatives aux clés déjà utilisées par Amazon Verified Permissions. Bien que les autorisations vérifiées valident les autorisations de chiffrement et de déchiffrement lorsque vous configurez initialement une AWS KMS clé lors de la création de ressources de haut niveau, elles ne peuvent pas vérifier les modifications de politique ultérieures à la demande. La suppression involontaire des autorisations nécessaires peut perturber vos décisions d'autorisation et les flux de service réguliers des autorisations vérifiées. Pour obtenir des conseils sur la résolution des erreurs courantes liées à clé gérée par le client s dans Amazon Verified Permissions, reportez-vous àRésoudre les problèmes liés aux clés gérées par le client dans les autorisations vérifiées par Amazon.
IAM Politiques nécessaires pour les ressources chiffrées
Les clients qui appellent Verified Permissions via un IAM rôle au sein de leur compte devront s'assurer que la IAM politique correspondante dispose des autorisations appropriées clé gérée par le client pour les utiliser à des fins de chiffrement et de déchiffrement des ressources.
Pour créer des magasins de politiques chiffrés par un clé gérée par le client, la IAM politique suivante illustre le strict minimum nécessaire AWS KMS et les actions d'autorisations vérifiées pour ce faire :
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:CreatePolicyStore", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
Note
Pour récupérer (opérations Get* et List*) et supprimer les magasins de politiques chiffrés par un clé gérée par le client, aucune autorisation supplémentaire n'est nécessaire.
Pour mettre à jour un magasin de règles chiffré par a clé gérée par le client, récupérer (opérations Get* et List*), mettre à jour et supprimer les ressources enfants d'un magasin de politiques chiffré par a clé gérée par le client, la IAM politique suivante illustre le strict minimum nécessaire AWS KMS et les actions d'autorisations vérifiées permettent de le faire :
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt" ], "Resource": "*", "Effect": "Allow" } ] }
Dans le cadre d'une IAM politique unique, les clients peuvent simplement ajouter les éléments suivants à leur politique de IAM rôle :
{ "Version": "2012-10-17", "Statement": [ { "Action": "verifiedpermissions:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Effect": "Allow" } ] }
Gestion des magasins de politiques chiffrés
Les magasins de politiques constituent le conteneur d'entrée de gamme qui contiendra toutes les ressources de politiques associées. Pour plus d'informations sur les magasins de politiques et la hiérarchie des ressources pour enfants, consultez les magasins de politiques Amazon Verified Permissions dans le guide de l'utilisateur Amazon Verified Permissions.
Lorsque vous créez un magasin de politiques dans Verified Permissions, vous pouvez activer le chiffrement au repos à l'aide de AWS KMS clés. Cela garantit que :
-
Toutes les opérations de lecture, de mise à jour et de suppression sur les magasins de politiques, et leurs ressources secondaires, utiliseront les processus clé gérée par le client de déchiffrement fournis
-
Tout appel de décision d'autorisation (c'est-à-dire IsAuthorized BatchIsAuthorized IsAuthorizedWithToken, etc.) utilisera les processus clé gérée par le client de déchiffrement fournis
Création d'un magasin de politiques crypté
Avant de créer un magasin de règles chiffré, assurez-vous que les déclarations de politique clés que clé gérée par le client vous utilisez sont définies pour les autorisations vérifiées d'Amazon afin d'utiliser la clé pour le chiffrement/le déchiffrement. Découvrez Autoriser l'utilisation de votre AWS KMS clé pour les autorisations vérifiées par Amazon quelles autorisations sont nécessaires.
En utilisant AWS CLI :
aws verifiedpermissions create-policy-store --region us-east-1 --encryption-settings file://encrypted.json --validation-settings "{\"mode\": \"OFF\"}"
À quoi encrypted.json ressemble :
{ "kmsEncryptionSettings": { "key": "arn:aws:kms:us-east-1:111122223333:key/12345678-90ab-cdef-ghij-klmnopqrstuv", "encryptionContext": { "<ENCRYPTION_CONTEXT_KEY_1>": "<ENCRYPTION_CONTEXT_VALUE_1>", "<ENCRYPTION_CONTEXT_KEY_2>": "<ENCRYPTION_CONTEXT_VALUE_2>", ... } } }
Assurez-vous de le key remplacer par votre clé gérée par le client ARN et de le remplacer par <ENCRYPTION_CONTEXT_KEY> les <ENCRYPTION_CONTEXT_VALUE> paires encryptionContext clé-valeur souhaitées. encryptionContextpeut être complètement omis si aucun ajout de paire clé-valeur n'est souhaité.
Important
N'incluez pas la paire clé-valeur aws:verifiedpermissions:policy-store-arn dans votre contexte de chiffrement personnalisé. Ceci est automatiquement ajouté et entraînera des erreurs de validation s'il fait partie des paires clé-valeur du contexte de chiffrement personnalisé que vous avez transmises.
Pour plus d'informations sur la disponibilité APIs des ressources enfants d'un magasin de politiques, consultez la section Actions du guide de référence de l'API Amazon Verified Permissions.
Note
Si AWS KMS clé gérée par le client les ressources utilisées par vos autorisations vérifiées Amazon sont supprimées, désactivées ou inaccessibles en raison d'une politique de AWS KMS clé incorrecte, le déchiffrement des ressources échouera, ce qui entraînera des décisions d'autorisation périmées. La perte d'accès peut être temporaire (une politique de clé peut être corrigée) ou permanente (une clé supprimée ne peut pas être restaurée) selon les circonstances. Nous vous recommandons de restreindre l'accès aux opérations critiques, telles que la suppression ou la désactivation de la AWS KMS clé. Nous recommandons également à votre organisation de mettre en place des procédures AWS d'accès rapides pour garantir l'accès de vos utilisateurs privilégiés AWS dans le cas peu probable où Amazon Verified Permissions serait inaccessible.
Surveillance de l'interaction entre Amazon Verified Permissions et AWS KMS
Vous pouvez surveiller l'utilisation de votre clé gérée par le client canal par Amazon Verified Permissions. AWS CloudTrail Chaque demande envoyée AWS KMS via Verified Permissions inclut le contexte de chiffrement et la clé ARN utilisée (votre clé gérée par le client) dans les paramètres de la demande :
Exemple d'entrée de AWS CloudTrail journal pour GenerateDataKeyWithoutPlaintext :
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKeyWithoutPlaintext", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_editor": "Janus" }, ... }, ... }
Exemple d'entrée de AWS CloudTrail journal pour Decrypt :
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:53:21Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "encryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012", "policy_store_owner": "Elias" } }, ... }
Exemple d'entrée de AWS CloudTrail journal pour ReEncrypt :
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:04Z", "eventSource": "kms.amazonaws.com", "eventName": "ReEncrypt", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "sourceKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "destinationEncryptionContext": { "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT", "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx", "sourceEncryptionContext": { "aws:verifiedpermissions:policy_store_arn": "arn:aws:verifiedpermissions::111122223333:policy-store/PSt123456789012" }, "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT", ... }, ... }
Notez que les entrées du journal font invokedBy référence au principal d'Amazon Verified Permissions et encryptionContext/sourceEncryptionContext/destinationEncryptionContext sont incluses dans la carte. requestParameters
Exemple d'entrée de AWS CloudTrail journal pour DescribeKey :
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "verifiedpermissions.amazonaws.com" }, "eventTime": "2025-09-28T16:51:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-east-1", "sourceIPAddress": "verifiedpermissions.amazonaws.com", "userAgent": "verifiedpermissions.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/abcdefgh-0123-ijkl-4567-mnopqrstuvwx" }, ... }
Notez que l'entrée du journal inclut une invokedBy référence au principal d'Amazon Verified Permissions.
Pour plus d'informations sur les entrées du AWS CloudTrail journal, voir Comprendre AWS CloudTrail les événements dans le Guide de AWS CloudTrail l'utilisateur.
Limitations
Cette rubrique décrit les limites actuelles des autorisations vérifiées et l'utilisation de clé gérée par le client s pour le chiffrement des ressources.
Vous ne pouvez pas désactiver le chiffrement pour un magasin de politiques une fois activé
Après avoir créé un magasin de règles sans chiffrement, vous ne pouvez pas le mettre à jour pour qu'il soit chiffré par un clé gérée par le client
Une fois que vous avez révoqué l'accès aux autorisations vérifiées à un magasin clé gérée par le client de politiques chiffré existant, il est possible que des décisions d'autorisation périmées soient prises.
Après avoir créé un magasin de règles avec un clé gérée par le client, vous ne pouvez pas modifier les valeurs de contexte de chiffrement personnalisées ; il s'agit de valeurs statiques définies lors de la création du magasin de règles crypté
Résoudre les problèmes liés aux clés gérées par le client dans les autorisations vérifiées par Amazon
Cette rubrique décrit les erreurs clé gérée par le client associées courantes que vous pouvez rencontrer lors de l'utilisation d'Amazon Verified Permissions et fournit des étapes de dépannage pour les résoudre.
Accès refusé : problème AWS KMS d'autorisation
Erreur : « Le service ou l'appelant n'est pas autorisé à utiliser la AWS KMS clé fournie, car la ressource n'existe pas dans cette région, aucune politique basée sur les ressources n'autorise l'accès ou une politique basée sur les ressources refuse explicitement l'accès »
Cela peut signifier que le service ou l'appelant ne disposent pas des autorisations kms:* d'action requises dans leur IAM politique/politique AWS KMS clé ou que la clé référencée n'existe pas ou n'existe plus.
Résolution des problèmes avec AWS CloudTrail :
Recherchez des
kms.amazonaws.comévénements dans AWS CloudTrailRecherchez le nom de l'événement de l' AWS KMS opération identifiée comme non autorisée (c'est-à-dire
DecryptReEncryptGenerateDataKeyWithoutPlaintext,DescribeKey,, etc.)Passez en revue les
errorMessagechampserrorCodeetVérifiez
userIdentityquel principal a tenté l'opération
Pour résoudre ce problème, accordez à l'utilisateur ou au IAM principal les autorisations d'accès aux AWS KMS opérations appropriées dans sa IAM politique et sa politique AWS KMS clé. Pour de plus amples informations, veuillez consulter Politique AWS KMS clé complète.
Exception de validation : configuration AWS KMS des clés
Erreur : « La AWS KMS clé configurée n'a pas de configuration valide »
Cela signifie que la clé référencée ne peut pas être utilisée par le service pour le clé gérée par le client chiffrement en raison de sa configuration actuelle. Les raisons peuvent inclure la désactivation de la clé, le type de clé non pris en charge EncryptionAlgorithm ou le type de clé non pris en charge KeyUsage .
Exception de limitation : AWS KMS limites de débit
Erreur : « Vous avez dépassé le débit auquel vous pouvez appeler AWS KMS »
Cette erreur signifie que vous avez dépassé la AWS KMS limite d'opérations cryptographiques pour votre clé : https://docs.aws.amazon.com/kms/latest/developerguide/requests-per-second.html.
Informations connexes
