AWS Config 配信チャネルの KMS キーの権限 - AWS Config
IAM ロールを使用する場合サービスにリンクされたロールを使用する場合アクセス権限の付与 AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config 配信チャネルの KMS キーの権限

S3 AWS KMS バケットのキーに関するポリシーを作成して、S3 バケット配信で配信されるオブジェクトに KMS ベースの暗号化を使用できるようにする場合は、 AWS Config このトピックの情報を使用してください。

IAM ロールの使用時 (S3 バケット配信) に KMS キーに必要なアクセス許可

IAM AWS Config ロールを使用して設定した場合は、以下のアクセス権限ポリシーを KMS キーにアタッチできます。


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
注記

IAM ロール、Amazon S3 バケットポリシー、 AWS KMS またはキーがへの適切なアクセスを提供しない場合 AWS Config AWS Config、設定情報を Amazon S3 バケットに送信しようとしても失敗します。このイベントでは、 AWS Config AWS Config 今度はサービスプリンシパルとして情報を再送信します。この場合、 AWS KMS 以下に説明するアクセス権限ポリシーをキーにアタッチして、Amazon S3 AWS Config バケットに情報を配信するときにキーを使用するためのアクセス権限を付与する必要があります。

サービスにリンクされたロール (S3 バケット配信) AWS KMS を使用する場合にキーに必要な権限

AWS Config サービスにリンクされたロールにはキーにアクセスする権限がありません。 AWS KMS そのため、 AWS Config AWS Config サービスにリンクされたロールを使用して設定すると、代わりにサービスプリンシパルとして情報が送信されます。 AWS Config Amazon S3 AWS KMS AWS Config バケットに情報を配信するときにキーを使用するためのアクセス権限を付与するには、 AWS KMS 以下で説明するアクセスポリシーをキーにアタッチする必要があります。

AWS ConfigAWS KMS キーへのアクセス権限の付与

このポリシーでは AWS Config 、Amazon S3 AWS KMS バケットに情報を配信する際にキーを使用できます。

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

キーポリシーの以下の数値を置き換えます。

  • myKMSKeyArn — 設定項目をに配信する Amazon S3 AWS KMS バケット内のデータを暗号化するために使用されるキーの ARN。 AWS Config

  • sourceAccountID – AWS Config がターゲットバケットに設定項目を配信するアカウントの ID。

AWS:SourceAccount AWS KMS 上記のキーポリシーの条件を使用して、Config AWS KMS サービスプリンシパルが特定のアカウントに代わって操作を実行する場合のみキーを操作するように制限できます。

AWS Config また、 AWS Config 特定の配信チャネルに代わって操作を実行するときに Config サービスプリンシパルが Amazon S3 AWS:SourceArn バケットとのみやり取りするように制限する条件もサポートしています。 AWS Config サービスプリンシパルを使用する場合、AWS:SourceArnプロパティは常に配信チャネルのリージョン、sourceAccountIDは配信チャネルを含むアカウントの ID に設定されます。arn:aws:config:sourceRegion:sourceAccountID:* sourceRegion配信チャネルの詳細については、「 AWS Config 配信チャネルの管理」を参照してください。たとえば、以下の条件を追加すれば、アカウント us-east-1123456789012 リージョンでの配信チャネルに代わってのみ Config サービスプリンシパルが Amazon S3 バケットと交信するように制限されます: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}