翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
許可の確認
権限は、ユーザー、または AWS KMS と統合された AWS サービスが、KMS キーをいつどのように使用するかを指定できるアクセス許可を指定する、アドバンストメカニズムです。権限は KMS キーにアタッチされ、各権限には KMS キーを使用するためのアクセス許可を受け取るプリンシパルと、許可されるオペレーションのリストが含まれます。許可は、キーポリシーに代わる手段であり、特定のユースケースで役立ちます。詳細については、「AWS KMS でのグラント」を参照してください。
KMS キーの許可のリストを取得するには、 AWS KMSListGrantsオペレーションを使用します。KMS キーの権限を確認することで、これらの権限で KMS キーを使用するアクセス許可を現在持っているユーザーやアプリケーションを特定できます。例えば、AWS CLI の list-grants コマンドから取得した権限の JSON 表現を次に示します。
{"Grants": [{ "Operations": ["Decrypt"], "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132", "RetiringPrincipal": "arn:aws:iam::123456789012:root", "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab", "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e", "IssuingAccount": "arn:aws:iam::111122223333:root", "CreationDate": 1.444151834E9, "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}} }]}
KMS キーにアクセスできるユーザーやアプリケーションを見つけるには、"GranteePrincipal" 要素を確認します。前述の例では、被付与者のプリンシパルは、EC2 インスタンス i-5d476fab に関連して割り当てられたロールユーザーです。EC2 インフラストラクチャはこのロールを使用して、暗号化された EBS ボリューム vol-5cccfb4e をインスタンスにアタッチします。この場合、EC2 インフラストラクチャロールは、KMS キーを使用するアクセス許可を持っています。これは、この KMS キーで保護された、暗号化された EBS ボリュームを以前に作成したためです。その後、ボリュームを EC2 インスタンスにアタッチしました。
以下は、AWS CLI の list-grants コマンドから取得した権限の JSON 表現の別の例です。次の例では、被付与者プリンシパルは別の AWS アカウント アカウントです。
{"Grants": [{ "Operations": ["Encrypt"], "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Name": "", "GranteePrincipal": "arn:aws:iam::444455556666:root", "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11", "IssuingAccount": "arn:aws:iam::111122223333:root", "CreationDate": 1.444151269E9 }]}
