での IAM ポリシーの使用 AWS KMS - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での IAM ポリシーの使用 AWS KMS

IAM ポリシーとキーポリシー 付与 、および VPC エンドポイントポリシー を使用して、 AWS KMS keys の へのアクセスを制御できます AWS KMS。

注記

IAM ポリシーを使用して KMS キーへのアクセスを制御するには、KMS キーのキーポリシーが IAM ポリシーを使用するアクセス許可をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

このセクションでは、IAM ポリシーを使用して AWS KMS オペレーションへのアクセスを制御する方法について説明します。IAM の一般的な情報については、「 IAM ユーザーガイド」を参照してください。

すべての KMS キーはキーポリシーを持つ必要があります。IAM ポリシーはオプションです。IAM ポリシーを使用して KMS キーへのアクセスを制御するには、KMS キーのキーポリシーが IAM ポリシーを使用するアクセス許可をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

IAM ポリシーは、任意の AWS KMS オペレーションへのアクセスを制御できます。キーポリシーとは異なり、IAM ポリシーは複数の KMS キーへのアクセスを制御し、いくつかの関連 AWS サービスのオペレーションに対するアクセス許可を付与できます。ただし、IAM ポリシーは、特定の KMS キーを含まないためCreateKey、キーポリシーでは制御できない などのオペレーションへのアクセスを制御するために特に便利です。

Amazon Virtual Private Cloud (Amazon VPC) エンドポイント AWS KMS 経由で にアクセスする場合は、VPC エンドポイントポリシーを使用して、エンドポイントの使用時に AWS KMS リソースへのアクセスを制限することもできます。例えば、VPC エンドポイントを使用する場合、 のプリンシパルのみがカスタマーマネージドキー AWS アカウント にアクセスすることを許可できます。詳細については、「VPC エンドポイントへのアクセスの制御」を参照してください。

JSON ポリシードキュメントの記述と書式設定については、『 IAM ユーザーガイド』の「IAM JSON ポリシーリファレンス 」を参照してください