翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する
AWS CloudHSM キーストアをサポートするために、 には AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可 AWS KMS が必要です。また、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロール AWS KMS を作成します AWS アカウント。 AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可するiam:CreateServiceLinkedRoleアクセス許可が必要です。
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy 管理ポリシーの更新の詳細については、「」を参照してくださいAWS KMSAWS 管理ポリシーの更新。
AWS KMS サービスにリンクされたロールについて
サービスにリンクされたロールは、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持することなく、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。詳細については、「AWS KMSのサービスにリンクされたロールの使用」を参照してください。
AWS CloudHSM キーストアの場合、 は AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy 管理ポリシーで AWS KMS 作成します。このポリシーはロールに以下のアクセス許可を与えます。
-
cloudhsm:Describe* – カスタムキーストアにアタッチされている AWS CloudHSM クラスターの変更を検出します。
-
ec2:CreateSecurityGroup – AWS CloudHSM キーストアを接続して、 AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックフローを有効にするセキュリティグループを作成するときに使用されます。
-
ec2:AuthorizeSecurityGroupIngress – AWS CloudHSM キーストアを接続して、 から AWS CloudHSM クラスターを含む VPC AWS KMS へのネットワークアクセスを許可するときに使用されます。
-
ec2:CreateNetworkInterface – AWS CloudHSM キーストアを接続して、 AWS KMS と AWS CloudHSM クラスター間の通信に使用されるネットワークインターフェイスを作成するときに使用されます。
-
ec2:RevokeSecurityGroupEgress – AWS CloudHSM キーストアを接続して、 が AWS KMS 作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。
-
ec2:DeleteSecurityGroup – AWS CloudHSM キーストアを切断して、キー AWS CloudHSM ストアの接続時に作成されたセキュリティグループを削除するときに使用されます。
-
ec2:DescribeSecurityGroups – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたセキュリティグループの変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
-
ec2:DescribeVpcs – AWS CloudHSM クラスターを含む VPC の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
-
ec2:DescribeNetworkAcls – AWS CloudHSM クラスターを含む VPC のネットワーク ACLs の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
-
ec2:DescribeNetworkInterfaces – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたネットワークインターフェイスの変更をモニタリングし、 AWS KMS が障害発生時に明確なエラーメッセージを提供できるようにします。
AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールは のみを信頼するためcks.kms.amazonaws.com、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、 が AWS CloudHSM クラスターを表示し、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続 AWS KMS するために必要なオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には、 AWS CloudHSM クラスター、HSMs、またはバックアップを作成、管理、削除するアクセス許可はありません。
リージョン
AWS CloudHSM キーストア機能と同様に、AWSServiceRoleForKeyManagementServiceCustomKeyStores ロールは、 AWS KMS と が利用可能なすべての AWS リージョン でサポート AWS CloudHSM されています。各サービスがサポート AWS リージョン する のリストについては、のAWS Key Management Service 「エンドポイントとクォータ」およびAWS CloudHSM 「エンドポイントとクォータ」を参照してくださいAmazon Web Services 全般のリファレンス。
AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの使用」を参照してください。
サービスにリンクされたロールの作成
AWS KMS AWS CloudHSM キーストアを作成するときに、ロール AWS アカウント がまだ存在しない場合は、 で AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールが自動的に作成されます。このサービスにリンクされたロールを直接作成または再作成することはできません。
サービスにリンクされたロールの説明を編集する
AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
サービスにリンクされたロールを削除する
AWS KMS は、すべての AWS CloudHSM キーストアを削除した場合でも、AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを AWS アカウント から削除しません。現在、AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを削除する手順はありませんが、アクティブな AWS CloudHSM キーストアがない限り、 はこのロールを引き受けたり、アクセス許可を使用した AWS KMS りしません。
