AWS KMS で IAM ポリシーを使用する - AWS Key Management Service

AWS KMS で IAM ポリシーを使用する

IAM ポリシーをキーポリシー権限VPC エンドポイントポリシーとともに使用して、AWS KMS の AWS KMS keys へのアクセスを制御できます。

注記

IAM ポリシーを使用して KMS キーへのアクセスを制御するには、KMS キーのキーポリシーが IAM ポリシーを使用するアクセス許可をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

このセクションでは、IAM ポリシーを使用して、AWS KMS オペレーションへのアクセスを制御する方法について説明します。IAM の一般的な情報については、「 IAM ユーザーガイド」を参照してください。

すべての KMS キーはキーポリシーを持つ必要があります。IAM ポリシーはオプションです。IAM ポリシーを使用して KMS キーへのアクセスを制御するには、KMS キーのキーポリシーが IAM ポリシーを使用するアクセス許可をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

IAM ポリシーは、任意の AWS KMS オペレーションへのアクセスを制御できます。キーポリシーとは異なり、IAM ポリシーは複数の KMS キーへのアクセスを制御し、複数の関連 AWS サービスのオペレーションに対するアクセス許可を付与できます。IAM ポリシーは、特定の KMS キーを含まないため、キーポリシーで制御できないオペレーション (CreateKey など) へのアクセスを制御する場合に特に便利です。

Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを介して AWS KMS にアクセスする場合、VPC エンドポイントポリシーを使用して、エンドポイントの使用時に AWS KMS リソースへのアクセスを制限することもできます。例えば、VPC エンドポイントを使用する場合、 AWS アカウント のプリンシパルのみにカスタマーマネージドキーへのアクセスを許可できます。詳細については、「VPC エンドポイントへのアクセスの制御」を参照してください。

JSON ポリシードキュメントの記述と書式設定については、『 IAM ユーザーガイド』の「IAM JSON ポリシーリファレンス 」を参照してください