パワーユーザー用向けの AWS 管理ポリシー - AWS Key Management Service

パワーユーザー用向けの AWS 管理ポリシー

AWSKeyManagementServicePowerUser マネージドポリシーを使用して、アカウントの IAM プリンシパルにパワーユーザーの許可を付与できます。パワーユーザーは KMS キーを作成し、作成した KMS キーを使用および管理し、すべての KMS キーと IAM アイデンティティを表示できます。AWSKeyManagementServicePowerUser マネージドポリシーを持つプリンシパルは、キーポリシー、他の IAM ポリシー、許可など、他のソースから許可を取得することもできます。

AWSKeyManagementServicePowerUser は AWS マネージド IAM ポリシーです。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

注記

KMS キーに固有のこのポリシー内の許可は (kms:TagResource および kms:GetKeyRotationStatus など)、その KMS キーのキーポリシーが、キーへのアクセスを制御するために IAM ポリシーを使用することを AWS アカウント に対して明示的に許可している場合にのみ有効です。許可が KMS キーに固有のものであるかどうかを判断するには、AWS KMS アクセス権限 を表示して、[Resources] (リソース) 列にある [KMS key] (KMS キー) の値を確認します。

このポリシーは、オペレーションを許可するキーポリシーを持つすべての KMS キーに対して、パワーユーザーの許可を付与します。クロスアカウントの許可の場合 (kms:DescribeKey および kms:ListGrants など)、これにより、信頼されていない AWS アカウント の KMS キーが含まれる可能性があります。詳細については、「IAM ポリシーのベストプラクティス」および「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。許可が他のアカウントの KMS キーに対して有効かどうかを判断するには、AWS KMS アクセス権限 を表示して、[Cross-account use] (クロスアカウントの使用) 列にある [Yes] (はい) の値を確認します。

プリンシパルにエラーを表示することなく AWS KMS コンソールを表示するためには、プリンシパルに tag:GetResources 許可が必要になりますが、これは AWSKeyManagementServicePowerUser ポリシーに含まれていません。この許可は、別の IAM ポリシーで許可できます。

AWSKeyManagementServicePowerUser マネージド IAM ポリシーには、以下の許可が含まれます。

  • プリンシパルが KMS キーを作成できるようにします。このプロセスにはキーポリシーの設定が含まれるため、パワーユーザーは自分や他者に、自分が作成した KMS キーを使用および管理するためのアクセス許可を付与することができます。

  • プリンシパルは、すべての KMS キーのエイリアスタグを作成および削除できます。タグまたはエイリアスを変更すると、KMS キーを使用および管理するためのアクセス許可が、許可または拒否される場合があります。詳細については、「AWS KMS の ABAC」を参照してください。

  • プリンシパルは、キー ARN、暗号化設定、キーポリシー、エイリアス、タグ、ローテーション状態など、すべての KMS キーに関する詳細情報を取得できます。

  • プリンシパルが IAM ユーザー、グループ、ロールを一覧表示できるようにします。

  • このポリシーでは、プリンシパルが自分で作成していない KMS キーを使用または管理することは許可できません。ただし、すべての KMS キーのエイリアスとタグを変更することはできるため、KMS キーを使用または管理する許可を許可または拒否できる可能性があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }