AWS CloudHSM キーストアへのアクセスを制御する - AWS Key Management Service
AWS CloudHSM キーストアマネージャーとユーザーの承認AWS CloudHSM と Amazon EC2リソースの管理 AWS KMS を許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアへのアクセスを制御する

IAM ポリシーを使用して、 AWS CloudHSM キーストアと AWS CloudHSM クラスターへのアクセスを制御します。キーポリシー、IAMポリシー、および許可を使用して、 AWS CloudHSM キーストア AWS KMS keys 内の へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。

AWS CloudHSM キーストアマネージャーとユーザーの承認

AWS CloudHSM キーストアを設計するときは、キーストアを使用および管理しているプリンシパルが、必要なアクセス許可のみを持っていることを確認してください。次のリストは、 AWS CloudHSM キーストアマネージャーとユーザーに最低限必要なアクセス許可を示しています。

  • AWS CloudHSM キーストアを作成して管理するプリンシパルには、 AWS CloudHSM キーストアAPIオペレーションを使用するための次のアクセス許可が必要です。

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • キーストアに関連付けられている AWS CloudHSM AWS CloudHSM クラスターを作成および管理するプリンシパルには、 AWS CloudHSM クラスターを作成および初期化するためのアクセス許可が必要です。これには、Amazon Virtual Private Cloud (VPC) を作成または使用するアクセス許可、サブネットの作成、Amazon EC2インスタンスの作成が含まれます。また、 を作成および削除しHSMs、バックアップを管理する必要がある場合もあります。必要なアクセス権限のリストについては、「AWS CloudHSM ユーザーガイド」の「AWS CloudHSMのアイデンティティとアクセス管理」を参照してください。

  • AWS CloudHSM キーストア AWS KMS keys で を作成して管理するプリンシパルには、 でKMS任意のキーを作成および管理するプリンシパルと同じアクセス許可が必要です AWS KMS。キーストア内のKMSキーのデフォルトキーポリシーは、 内のキーのデフォルトKMSキーポリシーと同じです AWS KMS。 AWS CloudHSM タグとエイリアスを使用してKMSキーへのアクセスを制御する属性ベースのアクセスコントロール (ABAC) は、 AWS CloudHSM キーストアのKMSキーにも有効です。

  • 暗号化オペレーションに AWS CloudHSM キーストアのKMSキーを使用するプリンシパルには、kms:Decrypt などのKMSキーを使用して暗号化オペレーションを実行するアクセス許可が必要です。これらのアクセス許可は、キーポリシー、IAMポリシーで指定できます。ただし、 AWS CloudHSM キーストアでKMSキーを使用するための追加のアクセス許可は必要ありません。

AWS CloudHSM と Amazon EC2リソースの管理 AWS KMS を許可する

AWS CloudHSM キーストアをサポートするには、 AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可 AWS KMS が必要です。また、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 でAWSServiceRoleForKeyManagementServiceCustomKeyStoresサービスにリンクされたロール AWS KMS を作成します AWS アカウント。 AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可するiam:CreateServiceLinkedRoleアクセス許可が必要です。

AWS KMS サービスにリンクされたロールについて

サービスにリンクされたロールは、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与するIAMロールです。複雑なIAMポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。詳細については、「AWS KMS のサービスにリンクされたロールの使用」を参照してください。

AWS CloudHSM キーストアの場合、 は AWSKeyManagementServiceCustomKeyStoresServiceRolePolicyポリシーを使用してAWSServiceRoleForKeyManagementServiceCustomKeyStoresサービスにリンクされたロール AWS KMS を作成します。このポリシーはロールに以下のアクセス許可を与えます。

  • cloudhsm:Describe* – カスタムキーストアにアタッチされている AWS CloudHSM クラスターの変更を検出します。

  • ec2:CreateSecurityGroupAWS CloudHSM キーストアを接続して、 AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックフローを有効にするセキュリティグループを作成するときに使用されます。

  • ec2:AuthorizeSecurityGroupIngressAWS CloudHSM キーストアを接続して、 AWS CloudHSM クラスターVPCを含む AWS KMS への からのネットワークアクセスを許可する場合に使用します。

  • ec2:CreateNetworkInterfaceAWS CloudHSM キーストアを接続して、 AWS KMS と AWS CloudHSM クラスター間の通信に使用されるネットワークインターフェイスを作成するときに使用されます。

  • ec2:RevokeSecurityGroupEgressAWS CloudHSM キーストアを接続して、 AWS KMS 作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。

  • ec2:DeleteSecurityGroupAWS CloudHSM キーストアを切断して、キー AWS CloudHSM ストアの接続時に作成されたセキュリティグループを削除する場合に使用します。

  • ec2:DescribeSecurityGroups – AWS CloudHSM クラスターVPCを含む で AWS KMS 作成されたセキュリティグループの変更をモニタリングし、障害が発生した場合に が AWS KMS 明確なエラーメッセージを提供できるようにします。

  • ec2:DescribeVpcs – AWS CloudHSM クラスターVPCを含む の変更をモニタリングするために使用され、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。

  • ec2:DescribeNetworkAcls – AWS CloudHSM クラスターVPCを含む ACLsのネットワーク内の変更をモニタリングし、障害が発生した場合に AWS KMS が明確なエラーメッセージを提供できるようにするために使用されます。

  • ec2:DescribeNetworkInterfaces – AWS CloudHSM クラスターVPCを含む で AWS KMS 作成されたネットワークインターフェイスの変更をモニタリングするために使用され、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールは のみを信頼するためcks.kms.amazonaws.com、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、 AWS CloudHSM クラスターを表示し、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続 AWS KMS する必要があるオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。例えば、 AWS CloudHSM クラスター、、またはバックアップを作成、管理HSMs、または削除するためのアクセス許可 AWS KMS はありません。

リージョン

AWS CloudHSM キーストア機能と同様に、AWSServiceRoleForKeyManagementServiceCustomKeyStoresロールは AWS KMS と が利用可能なすべての AWS リージョン でサポート AWS CloudHSM されています。各サービスがサポート AWS リージョン する のリストについては、AWS Key Management Service 「」の「エンドポイントとクォータ」とAWS CloudHSM 「エンドポイントとクォータ」を参照してくださいAmazon Web Services 全般のリファレンス

AWS サービスにリンクされたロールの使用方法の詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの使用」を参照してください。

サービスにリンクされたロールの作成

AWS KMS ロールがまだ存在しない場合、 AWS CloudHSM キーストアを作成すると、 AWS アカウント でAWSServiceRoleForKeyManagementServiceCustomKeyStoresサービスにリンクされたロールが自動的に作成されます。このサービスにリンクされたロールを直接作成または再作成することはできません。

サービスにリンクされたロールの説明を編集する

AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールのロール名またはポリシーステートメントは編集できませんが、ロールの説明は編集できます。手順については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールを削除する

AWS KMS は、すべての AWS CloudHSM キーストア を削除した場合でも、 AWS アカウント からAWSServiceRoleForKeyManagementServiceCustomKeyStoresサービスにリンクされたロールを削除しません。現在、AWSServiceRoleForKeyManagementServiceCustomKeyStoresサービスにリンクされたロールを削除する手順はありませんが、アクティブな AWS CloudHSM キーストアがない限り、このロールを引き受けたり、アクセス許可を使用した AWS KMS りすることはありません。