AWS KMS で IAM ポリシーを使用する

IAM ポリシーをキーポリシー、権限、VPC エンドポイントポリシーとともに使用して、AWS KMS の AWS KMS keys へのアクセスを制御できます。

注記

IAM ポリシーを使用して KMS キーへのアクセスを制御するには、KMS キーのキーポリシーが IAM ポリシーを使用するアクセス許可をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

このセクションでは、IAM ポリシーを使用して、AWS KMS オペレーションへのアクセスを制御する方法について説明します。IAM の一般的な情報については、「 IAM ユーザーガイド」を参照してください。

すべての KMS キーはキーポリシーを持つ必要があります。IAM ポリシーはオプションです。IAM ポリシーを使用して KMS キーへのアクセスを制御するには、KMS キーのキーポリシーが IAM ポリシーを使用するアクセス許可をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

IAM ポリシーは、任意の AWS KMS オペレーションへのアクセスを制御できます。キーポリシーとは異なり、IAM ポリシーは複数の KMS キーへのアクセスを制御し、複数の関連 AWS サービスのオペレーションに対するアクセス許可を付与できます。ただし、IAM ポリシーは、 などのオペレーションへのアクセスを制御するのに特に便利です。特定の KMS キーが関連しないためCreateKey、キーポリシーでは制御できません。

Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを介して AWS KMS にアクセスする場合、VPC エンドポイントポリシーを使用して、エンドポイントの使用時に AWS KMS リソースへのアクセスを制限することもできます。例えば、VPC エンドポイントを使用する場合、AWS アカウント のプリンシパルのみにカスタマーマネージドキーへのアクセスを許可できます。詳細については、「VPC エンドポイントへのアクセスの制御」を参照してください。

JSON ポリシードキュメントの記述と書式設定については、『 IAM ユーザーガイド』の「IAM JSON ポリシーリファレンス 」を参照してください。

トピック

• IAM ポリシーの概要
• IAM ポリシーのベストプラクティス
• IAM ポリシーステートメントで KMS キーを指定する
• AWS KMS コンソールの使用に必要な許可
• パワーユーザー用向けの AWS 管理ポリシー
• IAM ポリシーの例