AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する

AWS CloudHSM キーストアをサポートするには、 AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可 AWS KMS が必要です。また、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロール AWS KMS を作成します AWS アカウント。 AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可するiam:CreateServiceLinkedRoleアクセス許可が必要です。

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy 管理ポリシーの更新の詳細については、「」を参照してくださいAWS KMSAWS 管理ポリシーの更新

AWS KMS サービスにリンクされたロールについて

サービスにリンクされたロールは、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。詳細については、「AWS KMSのサービスにリンクされたロールの使用」を参照してください。

AWS CloudHSM キーストアの場合、 は AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy 管理ポリシーで AWS KMS 作成します。このポリシーはロールに以下のアクセス許可を与えます。

  • cloudhsm:Describe* – カスタムキーストアにアタッチされている AWS CloudHSM クラスターの変更を検出します。

  • ec2:CreateSecurityGroupAWS CloudHSM キーストアを接続して、 AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックフローを有効にするセキュリティグループを作成するときに使用されます。

  • ec2:AuthorizeSecurityGroupIngressAWS CloudHSM キーストアを接続して、 から AWS CloudHSM クラスターを含む VPC AWS KMS へのネットワークアクセスを許可する場合に使用します。

  • ec2:CreateNetworkInterfaceAWS CloudHSM キーストアを接続して、 AWS KMS と AWS CloudHSM クラスター間の通信に使用されるネットワークインターフェイスを作成するときに使用されます。

  • ec2:RevokeSecurityGroupEgressAWS CloudHSM キーストアを接続して、 が AWS KMS 作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。

  • ec2:DeleteSecurityGroupAWS CloudHSM キーストアを切断して、キー AWS CloudHSM ストアの接続時に作成されたセキュリティグループを削除するときに使用されます。

  • ec2:DescribeSecurityGroups – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたセキュリティグループの変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。

  • ec2:DescribeVpcs – AWS CloudHSM クラスターを含む VPC の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。

  • ec2:DescribeNetworkAcls – AWS CloudHSM クラスターを含む VPC のネットワーク ACLs の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。

  • ec2:DescribeNetworkInterfaces – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたネットワークインターフェイスの変更をモニタリングし、 AWS KMS が障害発生時に明確なエラーメッセージを提供できるようにします。

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudhsm:Describe*", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }

AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールは のみを信頼するためcks.kms.amazonaws.com、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、 が AWS CloudHSM クラスターを表示し、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続 AWS KMS するために必要なオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には、 AWS CloudHSM クラスター、HSMs、またはバックアップを作成、管理、削除するアクセス許可はありません。

リージョン

AWS CloudHSM キーストア機能と同様に、AWSServiceRoleForKeyManagementServiceCustomKeyStores ロールは、 AWS KMS と が利用可能なすべての AWS リージョン でサポート AWS CloudHSM されています。各サービスがサポート AWS リージョン する のリストについては、のAWS Key Management Service 「エンドポイントとクォータ」およびAWS CloudHSM 「エンドポイントとクォータ」を参照してくださいAmazon Web Services 全般のリファレンス

AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの使用」を参照してください。

サービスにリンクされたロールの作成

AWS KMS AWS CloudHSM は、キー AWS アカウント ストアを作成するときに、AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールがまだ存在しない場合、 に自動的に AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを作成します。このサービスにリンクされたロールを直接作成または再作成することはできません。

サービスにリンクされたロールの説明を編集する

AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールを削除する

AWS KMS は、すべての AWS CloudHSM キーストアを削除した場合でも、AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを AWS アカウント から削除しません。現在、AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを削除する手順はありませんが、アクティブな AWS CloudHSM キーストアがない限り、このロールを引き受けたり、アクセス許可を使用した AWS KMS りすることはありません。