カスタムキーストアへのアクセスのコントロール - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムキーストアへのアクセスのコントロール

IAM ポリシーを使用して、AWS KMSカスタムキーストアとAWS CloudHSMクラスタークラスター IAM ポリシーとキーポリシーを使用して、カスタムキーストア内のカスタマーマスターキー(CMK)へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。

カスタムキーストアマネージャーおよびユーザーの承認

カスタムキーストアを設計するときは、そのキーストアを使用および管理するプリンシパルに必要なアクセス許可のみが付与されていることを確認してください。次のリストは、カスタムキーストアの管理者とユーザーに必要な最小限のアクセス許可を示しています。

  • カスタムキーストアを作成および管理するプリンシパルは、カスタムキーストア API オペレーションを使用するために次のアクセス許可を必要とします。

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • iam:CreateServiceLinkedRole

  • カスタムキーストアに関連付けられた AWS CloudHSM クラスターを作成し管理するプリンシパルには、AWS CloudHSM クラスターを作成し初期化するアクセス許可が必要です。これには、仮想プライベートクラウドの作成または使用、サブネットの作成、Amazon EC2 インスタンスの作成権限が含まれます。また、HSM の作成と削除、およびバックアップの管理が必要な場合もあります。必要なアクセス許可のリストについては、」に必要なユーザーアクセス許可に限定するAWS CloudHSM()AWS CloudHSMユーザーガイド

  • カスタムキーストアでカスタマーマスターキー (CMK) を作成および管理するプリンシパルには、同じ権限で任意の CMK を作成および管理しているユーザーとしてAWS KMS。カスタムキーストアの CMK のデフォルトのキーポリシーは、AWS KMS の CMK のデフォルトのキーポリシーと同一です。属性ベースのアクセスコントロール(ABAC) は、タグとエイリアスを使用して CMK へのアクセスを制御しますが、カスタムキーストアの CMK でも有効です。

  • 暗号化操作にカスタムキーストアの CMK を使用するプリンシパルには、CMK を使用して 暗号化操作 ( KMS: Decryptなど) を実行するアクセス許可が必要です。これらのアクセス権限は、IAM またはキーポリシーで指定できます。ただし、カスタムキーストアで CMK を使用するための追加のアクセス許可は必要ありません。

承認済みAWS KMSを管理します。AWS CloudHSMおよび Amazon EC2 リソース

カスタムキーストアをサポートするために、AWS KMS には AWS CloudHSM クラスターに関する情報を取得するアクセス許可が必要です。また、カスタムキーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するアクセス許可が必要です。これらの権限を取得するには、AWS KMSの作成AWSservicerOLEキー管理サービスキーストアサービスにリンクされたロールを AWS アカウント 。カスタムキーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可する iam:CreateServiceLinkedRole アクセス許可が必要です。

AWS KMS サービスにリンクされたロールについて

Aサービスにリンクされたロールは、1 つの IAM ロールです。AWSサービス権限を使用して、他のAWSサービスをお客様に代わってのサービスを利用できます。これは、複数の統合されたの機能をより簡単に使用できるように設計されていますAWSサービスを利用できます。複雑な IAM ポリシーを作成および維持する必要はありません。

カスタムキーストアの場合、AWS KMSの作成AWSservicerOLEキー管理サービスキーストアサービスにリンクされたロールをAWSキー管理サービスキーストアサービスポリシーポリシーポリシー。このポリシーはロールに以下のアクセス許可を与えます。

[AWSServiceRoleForKeyManagementServiceCustomKeyStores] サービスにリンクされたロールは cks.kms.amazonaws.com のみを信頼するため、AWS KMS のみがこのサービスにリンクされたロールを引き受けることができます。このロールは、AWS KMS が AWS CloudHSM クラスターを表示し、カスタムキーストアをそれに関連付けられた AWS CloudHSM クラスターに接続するために必要なオペレーションに限定されています。AWS KMS に対して追加のアクセス許可は付与されません。たとえば、AWS KMS に、AWS CloudHSM クラスター、HSM、またはバックアップを作成、管理、または削除するためのアクセス許可はありません。

Regions

カスタムキーストア機能と同様に、AWSservicerOLEキー管理サービスキーストアロールは、すべての AWS リージョン この場合、次のようになります。AWS KMSおよびAWS CloudHSM利用不可。のリストについては AWS リージョン 各サービスをサポートする詳細については、AWS Key Management ServiceエンドポイントとクォータおよびAWS CloudHSMエンドポイントとクォータ()Amazon Web Services 全般リファレンス

方法の詳細については、AWSサービスでは、サービスにリンクされたロールが使用されています。サービスにリンクされたロールの使用IAM ユーザーガイド

サービスにリンクされたロールの作成

AWS KMSを自動で作成するAWSservicerOLEキー管理サービスキーストアサービスにリンクされたロールを AWS アカウント ロールがまだ存在しない場合、カスタムキーストアを作成するときに。このサービスにリンクされたロールを直接作成または再作成することはできません。

サービスにリンクされたロールの説明を編集する

AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、以下を参照してください。サービスにリンクされたロールの編集()IAM ユーザーガイド

サービスにリンクされたロールを削除する

AWS KMSは削除されません。AWSservicerOLEキー管理サービスキーストアサービスにリンクされたロールを AWS アカウント 。前提条件の場合カスタムキーストアをすべて削除しましたし、新しいロールを作成する予定がない場合は、このサービスにリンクされたロールは必要ありません。AWS KMSアクティブなカスタムキーストアがない限り、はこのロールを引き受けたり、そのアクセス許可を使用したりしません。ただし、現時点では、 AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールを削除する手順はありません。