暗号化されたボリュームで使用するのに必要な AWS KMS キーポリシー - Amazon EC2 Auto Scaling (日本語)

暗号化されたボリュームで使用するのに必要な AWS KMS キーポリシー

Amazon EC2 Auto Scaling は、Amazon Web Services にアクセス許可を委任するより安全で透過的な方法を提供する、新しいタイプの IAM ロールであるサービスにリンクされたロールをサポートしています。サービスにリンクされたロールは Amazon EC2 Auto Scaling によって事前に定義されており、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべての許可が含まれています。定義済みの権限には、 AWS マネージドキー へのアクセス権限も含まれます。ただし、顧客管理キーへのアクセスは含まれていないため、これらのキーを完全に制御できます。

このトピックでは、Amazon EBS 暗号化のカスタマーマネージドキーを指定するときに Auto Scaling インスタンスを起動するために必要なキーポリシーを設定する方法について説明します。

注記

Amazon EC2 Auto Scaling では、AWS アカウントの暗号化されたボリュームの保護にデフォルトの AWS マネージドキー を使用する場合、追加の承認は不要です。

Overview

以下の AWS KMS keys は、Amazon EC2 Auto Scaling がインスタンスを起動する際に、Amazon EBS 暗号化のために使用できます。

  • AWS マネージドキー - Amazon EBS によって作成、所有、管理される暗号化キー。これは、新しいアカウントのデフォルトの暗号化キーです。 AWS マネージドキー は、カスタマーマネージド型キーを指定する場合を除き、暗号化に使用されます。

  • カスタマー管理型キー - お客様が作成、所有、管理するカスタムの暗号化キー。詳細については、デベロッパーガイドの「AWS Key Management Serviceキーの作成」を参照してください。

    注:キーは対称である必要があります。Amazon EBS は非対称カスタマー管理キーをサポートしていません。

カスタマーマネージド型キーは、暗号化されたスナップショットを作成するとき、または暗号化されたボリュームを指定する起動テンプレートを作成するとき、またはデフォルトで暗号化を有効にするときに設定します。

キーポリシーの設定

KMS キーには、Amazon EC2 Auto Scaling が、カスタマーマネージド型キーで暗号化された Amazon EBS ボリュームを使用してインスタンスを起動できるようにするキーポリシーが必要です。

このページの例を使用して、Amazon EC2 Auto Scaling にカスタマー管理型キーへのアクセスを許可するようにキーポリシーを設定します。カスタマー管理型 キーのキーポリシーは、キーの作成時または後で変更できます。

Amazon EC2 Auto Scaling で CMK のキーポリシーを使用するには、少なくとも、2 つのポリシーステートメントをそのポリシーに追加する必要があります。

  • 最初のステートメントでは、Principal 要素で指定された IAM アイデンティティに、カスタマー型マネージドキー を直接使用できるようにします。また、キーで AWS KMS、EncryptDecryptReEncrypt*GenerateDataKey*、および DescribeKey オペレーションを実行するためのアクセス許可を含めます。

  • 2 番目のステートメントでは、Principal 要素で指定された IAM アイデンティティに、独自のアクセス許可のサブセットを AWS KMS または別のプリンシパルと統合された Amazon Web Services に委任するための許可を使用できるようにします。これにより、それらのサービスはお客様に代わって、キーを使用して、暗号化されたリソースを作成できるようになります。

キーポリシーに新しいポリシーステートメントを追加する場合は、ポリシーの既存のステートメントを変更しないでください。

以下の各例では、キー ID やサービスにリンクされたロールの名前など、置き換える必要のある引数は置き換え可能テキストとして斜体で示しています。ほとんどの場合、サービスにリンクされたロールの名前を Amazon EC2 Auto Scaling サービスにリンクされたロールの名前に置き換えることができます。ただし、起動設定を使用してスポットインスタンスを起動する場合は、AWSServiceRoleForEC2Spotという名前のロールを使用します。

詳細については、以下のリソースを参照してください。

例 1: カスタマー管理キーへのアクセスを許可するキーポリシーセクション

以下の 2 つのポリシーステートメントをカスタマー管理型キーのキーポリシーに追加して、例の ARN を、キーへのアクセスが許可されている適切なサービスにリンクされたロールの ARN に置き換えます。この例のポリシーセクションでは、AWSServiceRoleForAutoScaling という名前のサービスにリンクされたロールに、カスタマー管理型キーを使用するためのアクセス許可を付与します。

{ "Sid": "Allow service-linked role use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }

例 2: カスタマー型管理キーへのクロスアカウントアクセスを許可するキーポリシーセクション

カスタマー管理型キーが、Auto Scaling グループとは異なるアカウントにある場合は、キーへのアクセスを許可するキーポリシーを組み合わせて付与する必要があります。許可の詳細については、AWS Key Management Serviceデベロッパーガイドの「許可の使用」を参照してください。

まず、以下の 2 つのポリシーステートメントをカスタマー管理型キーのキーポリシーに追加して、例の ARN を外部アカウントの ARN に置き換え、キーを使用できるアカウントを指定します。これにより、IAM ポリシーを使用して、指定したアカウントの IAM ユーザーまたはロールに次の CLI コマンドを使用してキーの許可を作成するためのアクセス許可を付与することができます。 AWS アカウント にキーへのフルアクセスを付与しても、キーへのアクセス権は IAM ユーザーまたはロールに付与されません。

{ "Sid": "Allow external account 111122223333 use of the customer managed key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
{ "Sid": "Allow attachment of persistent resources in external account 111122223333", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:CreateGrant" ], "Resource": "*" }

次に、関連するアクセス許可を適切なサービスにリンクされたロールに委任するための許可を作成します。許可の Grantee Principal 要素は、適切なサービスにリンクされたロールの ARN です。key-id は、キーの ARN です。以下の create-a-grant CLI コマンドの例では、アカウント 111122223333AWSServiceRoleForAutoScaling という名前のサービスにリンクされたロールに、アカウント 444455556666 のカスタマー管理型キーを使用するためのアクセス許可を付与しています。

aws kms create-grant \ --region us-west-2 \ --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \ --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling \ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"

このコマンドが成功するには、リクエストを行うユーザーに CreateGrant アクションに対するアクセス許可が必要です。次の IAM ポリシーの例では、アカウント111122223333内のアカウント内のIAM ユーザーまたはロールに、アカウント444455556666内のカスタマー管理型キーの許可を作成することを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" } ] }

これらのアクセス許可を付与すると、すべてが期待どおりに動作するはずです。詳細については、こちらのフォーラム投稿を参照してください。

AWS KMS コンソールでのキーポリシーの編集

以前のセクションの例では、キーポリシーにステートメントを追加する方法のみを示しています。これは、キーポリシーを変更する 1 つの方法にすぎません。キーポリシーを変更する最も簡単な方法は、キーポリシーに対して AWS KMS コンソールのデフォルトビューを使用し、IAM エンティティ (ユーザーまたはロール) を適切なキーポリシーのいずれかのキーユーザーにすることです。詳細については、AWS Key Management Serviceデベロッパーガイドの「の使用AWS管理コンソールのデフォルトビュー」を参照してください。

重要

以下の点に注意してください。コンソールのデフォルトビューポリシーステートメントには、カスタマー管理型キーに対して AWS KMS Revoke オペレーションを実行するためのアクセス許可が含まれています。 AWS アカウント にお客様のアカウントのカスタマー管理型キーへのアクセスを許可した場合、このアクセス許可を付与するための許可を誤って取り消すと、外部ユーザーは暗号化されたデータにもデータの暗号化に使用されたキーにもアクセスできなくなります。