Comment résoudre l'erreur « L'identifiant de clé fourni n'est pas accessible » lors d'une copie entre comptes dans AWS Backup ?

Brève description

Lorsque vous utilisez AWS Backup pour effectuer une copie d'un compte AWS à un autre, un message d'erreur de ce type s’affiche :

« L'identifiant de clé fourni n'est pas accessible »

-ou-

« La clé KMS de l'instantané source n'existe pas, n'est pas activée ou vous n'avez pas l'autorisation requise pour y accéder »

Pour réussir à créer une copie entre comptes, vous devez autoriser le compte de destination dans la stratégie de clé AWS Key Management Service (AWS KMS) du compte source. Les autorisations AWS KMS suivantes sont nécessaires pour effectuer diverses opérations cryptographiques :

• DescribeKey
• Chiffrer
• Déchiffrer
• ReEncryptFrom
• ReEncryptTo
• GenerateDataKeyPair
• GenerateDataKeyPairWithoutPlaintext
• GenerateDataKeyWithoutPlaintext
• CreateGrant
• ListGrant
• RevokeGrant

Résolution

Vous devez inclure l'utilisateur root du compte de destination dans la politique de clé AWS KMS du compte source. L'utilisateur root du compte de destination délègue ensuite les autorisations AWS Identity and Access Management (IAM) nécessaires aux utilisateurs et aux rôles.

Pour les ressources qui prennent en charge la gestion complète d'AWS Backup, la clé AWS KMS source est la clé de chiffrement du coffre-fort. La clé AWS KMS source peut être une clé gérée par le client ou une clé gérée par AWS. Si la clé AWS KMS source est une clé gérée par le client, vous devez modifier la stratégie de clé pour inclure le compte de destination.

Pour les ressources qui ne prennent pas en charge la gestion complète d'AWS Backup, la clé AWS KMS source est la clé de chiffrement de la ressource d'origine. La clé AWS KMS source doit être une clé gérée par le client, ce qui signifie que vous devez modifier la stratégie de clé pour inclure le compte de destination.

Remarque : la clé AWS KMS source ne peut pas être une clé gérée par AWS. En effet, une clé gérée par AWS ne permet pas de modifier la stratégie de clé. De plus, une clé gérée par AWS ne peut pas être partagée avec le compte de destination.

Stratégie de la clé AWS KMS source

Pour créer une copie d'un compte à un autre, vous devez modifier votre clé AWS KMS source pour inclure les autorisations suivantes :

**Remarque :**Remplacez SourceAccountID et DestinationAccountID par vos identifiants de compte source et de compte de destination.

{  
    "Version": "2012-10-17",  
    "Id": "cab-kms-key",  
    "Statement": [{  
            "Sid": "Enable IAM User Permissions",  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": "arn:aws:iam::SourceAccountID:root"  
            },  
            "Action": "kms:*",  
            "Resource": "*"  
        },  
        {  
            "Sid": "Allow use of the key",  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": [  
                    "arn:aws:iam::SourceAccountID:root",  
                    "arn:aws:iam::DestinationAccountID:root"  
                ]  
            },  
            "Action": [  
                "kms:DescribeKey",  
                "kms:Encrypt",  
                "kms:Decrypt",  
                "kms:ReEncrypt*",  
                "kms:GenerateDataKey*"  
            ],  
            "Resource": "*"  
        },  
        {  
            "Sid": "Allow attachment of persistent resources",  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": [  
                    "arn:aws:iam::SourceAccountID:root",  
                    "arn:aws:iam::DestinationAccountID:root"  
                ]  
            },  
            "Action": [  
                "kms:CreateGrant",  
                "kms:ListGrants",  
                "kms:RevokeGrant"  
            ],  
            "Resource": "*",  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        }  
    ]  
}

Conseil : dans la stratégie précédente, au lieu d'utiliser arn:aws:iam::DestinationAccountID:root, vous pouvez restreindre l'accès à un seul rôle depuis le compte de destination avec ARN arn:aws:iam::DestinationAccountID:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup. AWSServiceRoleforBackup est une fonction du service créée automatiquement dans le compte de destination et utilisée pour extraire les sauvegardes du compte source vers le compte de destination.

Considérations supplémentaires de chiffrement dans AWS Backup pour les copies entre comptes

Pour savoir quels types de ressources permettent une gestion complète d'AWS Backup, consultez la section Disponibilité des fonctionnalités par ressource.

Dans les cas où la gestion complète d'AWS Backup est prise en charge, les ressources peuvent être chiffrées à l'aide d'une clé AWS KMS gérée par le client ou d'une clé gérée par AWS. Le processus de chiffrement suivant est alors effectué :

• La sauvegarde source est chiffrée à l'aide d'une clé AWS KMS du coffre-fort source.
• La copie de destination est chiffrée à l'aide d'une clé AWS KMS du coffre-fort de destination.

Pour créer des copies entre comptes à partir de ressources qui ne prennent pas en charge la gestion complète d'AWS Backup, chiffrez les ressources à l'aide d'une clé AWS KMS gérée par le client. Le processus de chiffrement suivant est alors effectué :

• La sauvegarde source est chiffrée avec la clé de chiffrement de la ressource d'origine.
• La copie de destination est chiffrée à l'aide d'une clé AWS KMS du coffre-fort de destination.

Informations connexes

Qu'est-ce que AWS Backup ?

Protection de votre code dans une solution de déploiement entre régions et comptes

Chiffrement des sauvegardes dans AWS Backup