AWS CloudHSM キーストアへのアクセスの制御 - AWS Key Management Service
AWS CloudHSM キーストアのマネージャーとユーザーの承認AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアへのアクセスの制御

AWS CloudHSM カスタムキーストアと AWS CloudHSM クラスターへのアクセスを制御するときは、IAM ポリシーを使用します。キーポリシー、IAM ポリシー、グラントを使用すれば、AWS CloudHSM キーストアの AWS KMS keys へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。

AWS CloudHSM キーストアのマネージャーとユーザーの承認

AWS CloudHSM キーストアを設計するときは、そのキーストアを使用および管理するプリンシパルに必要なアクセス許可のみが付与されていることを確認してください。次のリストは、AWS CloudHSM キーストアの管理者とユーザーに必要な最小限のアクセス許可を示しています。

  • AWS CloudHSM キーストアを作成および管理するプリンシパルは、AWS CloudHSM キーストア API オペレーションを使用するために次のアクセス許可を必要とします。

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターを作成し管理するプリンシパルには、AWS CloudHSM クラスターを作成し初期化するアクセス許可が必要です。これには、仮想プライベートクラウド (VPC) の作成または使用、サブネットの作成、Amazon EC2 インスタンスの作成権限が含まれます。また、HSM の作成と削除、およびバックアップの管理が必要な場合もあります。必要なアクセス権限のリストについては、「AWS CloudHSM ユーザーガイド」の「AWS CloudHSM のアイデンティティとアクセス管理」を参照してください。

  • AWS CloudHSM キーストアで AWS KMS keys を作成し管理するプリンシパルには、AWS KMS で KMS キーを作成し管理するプリンシパルと同じアクセス許可が必要です。AWS CloudHSM キーストアの KMS キーのデフォルトキーポリシーは、AWS KMS の KMS キーのデフォルトキーポリシーと同じです。タグとエイリアスを使用して KMS キーへのアクセス許可を管理する属性ベースのアクセスコントロール (ABAC) は、AWS CloudHSM キーストアの KMS キーでも有効です。

  • AWS CloudHSM キーストアで暗号化オペレーションに KMS キーを使用するプリンシパルには、KMS キーで暗号化オペレーション (kms:Decrypt など) を実行するためのアクセス許可が必要です。  これらのアクセス許可は、キーポリシー、IAM ポリシーで付与できます。ただし、AWS CloudHSM キーストアで KMS キーを使用するための追加のアクセス許可は必要ありません。

AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する

AWS CloudHSM キーストアをサポートするため、AWS KMS には AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可が必要になります。また、AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するための、アクセス許可も必要です。これらのアクセス許可を取得するために、AWS KMS は AWS アカウント で AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールを作成します。AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可する iam:CreateServiceLinkedRole アクセス許可が必要です。

AWS KMS サービスにリンクされたロールについて

サービスリンクロールは、ユーザーの代わりに他の AWS サービスを呼び出す 1 つの AWS サービスアクセス許可を付与する IAM ロールです。これは、複数の統合された AWS サービスの機能を、複雑な IAM ポリシーを作成したり維持したりせずに簡単に使用できるように設計されました。詳細については、「AWS KMS のサービスにリンクされたロールの使用」を参照してください。

AWS CloudHSM キーストアの場合、AWS KMS は、AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy ポリシーを使って AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールを作成します。このポリシーはロールに以下のアクセス許可を与えます。

  • cloudhsm:Describe* – カスタムキーストアにアタッチされている AWS CloudHSM クラスター内の変更を検出します。

  • ec2:CreateSecurityGroupAWS CloudHSM キーストアを接続して、AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックを有効にするセキュリティグループを作成するときに使用されます。

  • ec2:AuthorizeSecurityGroupIngressAWS CloudHSM キーストアを接続して、AWS CloudHSM クラスターが含まれる VPC への AWS KMS からのネットワークアクセスを許可するときに使用されます。

  • ec2:CreateNetworkInterfaceAWS CloudHSM キーストアを接続して、AWS KMS と AWS CloudHSM クラスター間のコミュニケーションに使用されるネットワークインターフェイスを作成するときに使用されます。

  • ec2:RevokeSecurityGroupEgressAWS CloudHSM キーストアを接続して、AWS KMS が作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。

  • ec2:DeleteSecurityGroupAWS CloudHSM キーストアを切断して、AWS CloudHSM キーストアの接続時に作成されたセキュリティグループを削除するときに使用されます。

  • ec2:DescribeSecurityGroups – AWS CloudHSM クラスターが含まれる VPC で AWS KMS が作成したセキュリティグループ内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

  • ec2:DescribeVpcs – AWS CloudHSM クラスターが含まれる VPC 内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

  • ec2:DescribeNetworkAcls – AWS CloudHSM クラスターが含まれる VPC 用のネットワーク ACL 内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

  • ec2:DescribeNetworkInterfaces – AWS CloudHSM クラスターが含まれる VPC で AWS KMS が作成したネットワークインターフェイス内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

[AWSServiceRoleForKeyManagementServiceCustomKeyStores] サービスにリンクされたロールは cks.kms.amazonaws.com のみを信頼するため、AWS KMS のみがこのサービスにリンクされたロールを引き受けることができます。このロールは、AWS KMS が AWS CloudHSM クラスターを表示し、AWS CloudHSM キーストアをそれに関連付けられた AWS CloudHSM クラスターに接続するために必要なオペレーションに限定されています。AWS KMS に対して追加のアクセス許可は付与されません。たとえば、AWS KMS に、AWS CloudHSM クラスター、HSM、またはバックアップを作成、管理、または削除するためのアクセス許可はありません。

リージョン

AWS CloudHSM キーストアの機能と同様に、AWSServiceRoleForKeyManagementServiceCustomKeyStores ロールは、AWS KMS と AWS CloudHSM を利用できるすべての AWS リージョン でサポートされています。各サービスがサポートしている AWS リージョン のリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Key Management Service エンドポイントとクォータ」および「AWS CloudHSM エンドポイントとクォータ」を参照してください。

AWS のサービスでサービスリンクロールを使用する方法の詳細については、IAM ユーザーガイドの「サービスリンクロールの使用」を参照してください。

サービスにリンクされたロールの作成

AWS CloudHSM キーストアを作成する時点でロールがまだ存在していない場合、AWS KMS は AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールを AWS アカウント に自動的に作成します。このサービスにリンクされたロールを直接作成または再作成することはできません。

サービスにリンクされたロールの説明を編集する

AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールを削除する

AWS CloudHSM キーストアをすべて削除しても、AWS KMS では、AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールは AWS アカウント から削除されません。現時点では AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを削除する手順はありませんが、AWS KMS は、アクティブな AWS CloudHSM キーストアがない限り、このロールを割り当てたりそのアクセス許可を使用したりすることはありません。