AWS KMS での IAM ポリシーの使用 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS での IAM ポリシーの使用

IAM ポリシーと、 キー, ポリシー、許可, 、 VPC エンドポイントポリシー, を使用して、AWS KMS でカスタマーマスターキー(CMK)へのアクセスを制御できます。

注記

IAM ポリシーを使用して CMK へのアクセスを制御するには、CMK のキーポリシーが IAM ポリシーを使用するアクセス権限をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

このセクションでは、IAM ポリシーを使用して AWS KMS オペレーションへのアクセスを制御する方法について説明します。IAM の一般的な情報については、「 IAM ユーザーガイド」を参照してください。

すべての CMK にはキーポリシーが必要です。IAM ポリシーはオプションです。IAM ポリシーを使用して CMK へのアクセスを制御するには、CMK のキーポリシーが IAM ポリシーを使用するアクセス権限をアカウントに付与する必要があります。具体的には、キーポリシーには IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

IAM ポリシーは、AWS KMS オペレーションへのアクセスを制御できます。キーポリシーとは異なり、IAM ポリシーは複数の CMK へのアクセスを制御し、関連する AWS サービスの運用に対するアクセス権限を提供できます。ただし、IAM ポリシーは、特定の CMK を含まないため、 キーポリシーで制御できない操作(Create, Key など)へのアクセスを制御する場合に特に便利です。

Amazon 仮想プライベートクラウド(Amazon VPC)エンドポイントを介して AWS KMS にアクセスする場合、VPC エンドポイントポリシーを使用して、エンドポイントの使用時に AWS KMS リソースへのアクセスを制限することもできます。たとえば、VPC エンドポイントを使用する場合、AWS アカウントのプリンシパルだけに CMK へのアクセスを許可できます。詳細については、「VPC エンドポイントへのアクセスの制御」を参照してください。

JSON ポリシードキュメントの記述と書式設定については、『 IAM ユーザーガイド』の「IAM JSON ポリシーリファレンス 」を参照してください