AWS KMS での IAM ポリシーの使用 - AWS Key Management Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS KMS での IAM ポリシーの使用

IAMポリシーをキーポリシー許可、および VPC エンドポイントポリシーと一緒に使用して で カスタマーマスターキー (CMKs) へのアクセスを制御できます。AWS KMS

注記

IAMポリシーを使用して CMK へのアクセスを制御するには、 のキーポリシーが、ポリシーを使用するアクセス許可をアカウントに付与CMKする必要があります。IAM具体的には、キーポリシーには、IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

このセクションでは、IAM ポリシーを使用して AWS KMS オペレーションへのアクセスを制御する方法について説明します。IAM に関する一般的な情報については、「IAM ユーザーガイド」を参照してください。

すべてキーポリシーCMKsが必要です。 IAM ポリシーはオプションです。IAMポリシーを使用して CMK へのアクセスを制御するには、 のキーポリシーが、ポリシーを使用するアクセス許可をアカウントに付与CMKする必要があります。IAM具体的には、キーポリシーには、IAM ポリシーを有効にするポリシーステートメントを含める必要があります。

IAM ポリシーは、任意の AWS KMS オペレーションへのアクセスを制御できます。キーポリシーとは異なり、IAMポリシーは複数の へのアクセスを制御CMKsし、複数の関連AWSサービスのオペレーションに対するアクセス許可を提供できます。ただし、IAMポリシーは、特定の CreateKey を含まないため、キーポリシーで制御できない などのオペレーションへのアクセスを制御する場合に特に便利ですCMK。

Amazon Virtual Private Cloud (Amazon VPC) エンドポイント経由で AWS KMS にアクセスする場合は、エンドポイントを使用するときに VPC エンドポイントポリシーを使用して AWS KMS リソースへのアクセスを制限することもできます。たとえば、VPC エンドポイントを使用する場合、AWS アカウントのプリンシパルのみに CMKs へのアクセスを許可できます。詳細については、「VPC エンドポイントへのアクセスの制御」を参照してください。

JSON ポリシードキュメントの作成と書式設定については、IAM ユーザーガイドの「IAM JSON ポリシーリファレンス」を参照してください。

IAM ポリシーの概要

以下の方法で IAM ポリシーを使用できます。

  • ユーザーまたはグループにアクセス権限ポリシーをアタッチする – IAM ユーザーまたはユーザーのグループに AWS KMS オペレーションの呼び出しを許可するポリシーをアタッチできます。

  • フェデレーションまたはクロスアカウントのアクセス権限のためのアクセス権限ポリシーをロールにアタッチする – ID フェデレーションを有効にしたり、クロスアカウントのアクセス権限を付与したり、EC2 インスタンスで実行中のアプリケーションにアクセス権限を付与したりする IAM ポリシーを、IAM ロールにアタッチできます。IAMロールのさまざまなユースケースの詳細については、の「IAMロール」を参照してくださいIAM ユーザーガイド

以下に示しているのは、AWS KMS のアクセス権限を使用する IAM ポリシーの例です。このポリシーでは、アタッチ先の IAM ID にすべての CMKsおよび エイリアスのリストを許可しています。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }

すべての IAM ポリシーと同様、このポリシーには Principal 要素がありません。IAM ユーザーまたは IAM ロールに IAM ポリシーをアタッチすると、ユーザーまたは ロールを引き受けたユーザーは、ポリシーに指定されているクセス許可を取得します。

すべての AWS KMS API アクションとそれらが適用されるリソースの表については、「AWS KMS API アクセス許可のリファレンス」を参照してください。

IAMポリシーのベストプラクティス

AWS KMSカスタマーマスターキー(CMKs) へのアクセスの保護は、すべてのAWSリソースのセキュリティに不可欠です。 AWS KMS CMKs は、 AWS アカウントで最も機密性の高いリソースの多くを保護するために使用されます。へのアクセスを制御するキーポリシー、IAMポリシー、許可、および VPC エンドポイントポリシーを設計するのに時間がかかります。CMKs

IAMへのアクセスを制御するCMKsポリシーステートメントでは、最も権限の低い原則を使用します。プリンシパルは、使用または管理する必要がある のみでIAM、必要なアクセス許可のみ付与します。CMKs

キーポリシーを使用する

可能な限り、他のCMKアカウントのものを含め、多くの に適用できる IAM ポリシーではなく、1 つの に影響する キーポリシーでアクセス許可を指定します。CMKsAWSこれは、 KMS: PutKeyPolicy や KMS: ScheduleKeyDel etion などの機密性の高いアクセス許可にとって特に重要ですが、データの保護方法を決定する暗号化操作でも重要です。

CreateKeyアクセス許可の制限

キー (KMS: CreateKey) を作成する権限を必要なプリンシパルにのみ付与します。また、 を作成するプリンシパルは、キーポリシーも設定するため、自身や他のユーザーに、作成したものを使用および管理するためのアクセス許可を付与CMKできます。CMKsこのアクセス許可を許可する場合は、 ポリシー条件を使用して制限することを検討してください。たとえば、 kms:CustomerMasterKeySpec 条件を使用して、対称 へのアクセス許可を制限できますCMKs。

CMKsポリシーIAMで指定する

ベストプラクティスとして、ポリシーステートメントの要素でアクセス権限が適用される各 キー ARN を指定します。CMKResourceこのプラクティスは、CMKsそのプリンシパルが必要とする へのアクセス許可を制限します。たとえば、このResource要素は、 が使用する必要があるプリンシパルのみをリストします。CMKs

"Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" ]

を指定する場合は、信頼されたCMKsアカウントとリージョンResourceの へのアクセスを制限するCMKs値 ( など) を使用しますAWS。arn:aws:kms:region:account:key/* または、 など、信頼されたCMKsアカウントのすべてのリージョン (*) AWSから へのアクセスを制限arn:aws:kms:*:account:key/*します。

IAMポリシーでの「リソース」: 「*」の回避

ワイルドカード文字 (*) を慎重に使用してください。キーポリシーでは、Resource要素内のワイルドカード文字は、キーポリシーがアタッチされている を表します。CMKただし、 IAM ポリシーでは、Resourceエレメント ("Resource": "*") 内でワイルドカード文字を単独で使用することができ、プリンシパルCMKsアカウントが使用するアクセス権限を持っているすべてのアカウントで、アクセス権限をすべてのアカウントに適用することができます。AWSこれは、他の AWS アカウントと、プリンシパルのアカウントCMKsに含まれる場合があります。CMKs

たとえば、別のAWSアカウントの CMK を使用するには、外部アカウントの CMK のキーポリシーと、自分のアカウントの IAM ポリシーからのアクセス許可がプリンシパルに必要です。任意のアカウントが、そのアカウントに対して AWSkms:Decrypt アクセス許可をアカウントに付与したとしますCMKs。その場合、すべて IAM (kms:Decrypt) のロールCMKs権限を付与するアカウントの "Resource": "*" ポリシーは、要件のIAMパートを満たします。その結果、そのロールを引き受けるプリンシパルは、信頼されていないアカウントの を使用して暗号化テキストを復号できるようになりました。CMKこれらのオペレーションのエントリは、両方のアカウントのCloudTrailログに表示されます。

特に、次の API 操作を許可するポリシーステートメントではを使用しないでください。 "Resource": "*"これらのオペレーションは、他の CMKs アカウントAWSで に呼び出すことができます。

「リソース」を使用する場合:「*」

IAMポリシーでは、エレメント内でワイルドカード文字を使用するのは、それを必要とするアクセス権限に対してのみです。Resource "Resource": "*" 要素が必要なのは、次の権限のみです。

注記

エイリアスオペレーション (kms:CreateAliaskms:UpdateAliaskms:DeleteAlias) のアクセス許可は、エイリアスと にアタッチする必要がありますCMK。"Resource": "*"ポリシーIAMで を使用してエイリアスと CMKs を表すか、 CMKs 要素Resourceでエイリアスと を指定できます。例については、「エイリアスへのアクセスの制御」を参照してください。

 

このトピックの例では、 のIAMポリシーを設計するための詳しい情報とガイダンスを提供しますCMKs。 一般的なベストプラクティスのガイダンスについては、「」を参照してくださいAWS KMS。AWS Key Management Service のベストプラクティスホワイトペーパー

CMKsポリシーステートメントIAMでの指定

IAMポリシーを使用して、プリンシパルが を使用または管理することを許可CMKsできます。CMKsは、 ポリシーステートメントの Resource 要素で指定されます。

ポリシーステートメントを記述するときは、すべての へのアクセスを許可するのではなく、プリンシパルが使用する必要のあるものに制限することをお勧めしますCMKs。CMKs

  • CMKsポリシーステートメントIAMで特定の を指定するには、各 キー ARN CMK を使用します。ポリシーステートメント を識別するためにキー ID、CMKエイリアス名、またはIAMエイリアス ARN を使用することはできません。

    以下に例を示します。"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  • アカウントとリージョンCMKsで複数の を指定するには、リージョンでワイルドカード文字 (*) を使用するか、キー ARN のリソース ID の位置を使用します。

    たとえば、 アカウントの CMKs リージョン米国西部 (オレゴン)内のすべての を指定するには、「Resource": "arn:aws:kms:us-west-2:111122223333:key/*」を使用します。アカウントのすべてのリージョンCMKsですべての を指定するには、「Resource": "arn:aws:kms:*:111122223333:key/*」を使用します。

  • すべての CMKs を表すには、ワイルドカード文字を単独で使用します ("*")。この形式は、特定の CMK を使用しないオペレーション、つまり 、 CreateKey GenerateRandom 、および に使用しますListAliasesListKeys

たとえば、次のIAMポリシーステートメントでは、プリンシパルが、ポリシーステートメントの要素に示されている の 、 DescribeKey Decrypt GenerateDataKeyオペレーションのみを呼び出すことができます。https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.htmlCMKsResourceベストプラクティスであるキー ARN CMKsで指定することで、アクセス許可は指定された のみに制限されますCMKs。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" ] } }

特定の信頼されたCMKsアカウントのすべてにアクセス許可を適用するには、リージョンおよびキー ID の位置にワイルドカード文字 (*) を使用できます。AWSたとえば、次のポリシーステートメントでは、プリンシパルが 2 つの信頼されたサンプルアカウントすべてに対して指定されたオペレーションを呼び出すことを許可します。CMKs

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyPair" ], "Resource": [ "arn:aws:kms:*:111122223333:key/*", "arn:aws:kms:*:444455556666:key/*" ] } }

Resource 要素内でワイルドカード文字 ("*") を単独で使用することもできます。すべてのアカウントへのアクセスが使用許可されているため、特定の CMKs および ステートメントを含まないオペレーションに主にアクセスすることをお勧めします。CMKDenyまた、機密性の低い読み取り専用操作のみを許可するポリシーステートメントで使用することもできます。AWS KMSオペレーションが特定の CMK を含むかどうかを確認するには、 のテーブルの [Resources CMK (リソース)] 列で値を探しますAWS KMS API のアクセス許可: アクションとリソースのリファレンス

たとえば、次のポリシーステートメントでは、 Deny エフェクトを使用して、プリンシパルが任意の CMK に対して指定されたオペレーションを使用できないようにしています。Resource要素内でワイルドカード文字を使用してすべての を表しますCMKs。

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "kms:CreateKey", "kms:PutKeyPolicy", "kms:CreateGrant", "kms:ScheduleKeyDeletion" ], "Resource": "*" } }

次のポリシーステートメントでは、ワイルドカード文字を単独で使用してすべての CMKs を表します。 ただし、機密性の低い読み取り専用オペレーションと、特定の CMK に適用されないオペレーションのみが許可されます。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:ListKeys", "kms:ListAliases", "kms:ListResourceTags" ], "Resource": "*" } }

AWS KMS コンソールの使用に必要なアクセス許可

AWS KMS コンソールを使用して作業するユーザーには、AWS アカウントの AWS KMS リソースの使用を許可する最小限のアクセス権限が必要です。これらの AWS KMS アクセス権限に加えて、ユーザーには、IAM ユーザーおよびロールを一覧表示するためのアクセス権限が必要です。これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対して AWS KMS コンソールは意図したとおりには機能しません。

AWS KMS コンソールへの読み取り専用アクセスをユーザーに許可するために必要な最小限のアクセス権限については、「CMKsコンソールAWS KMSの表示をユーザーに許可する」を参照してください。

AWS KMSユーザーがコンソールを使用して CMKs を作成および管理できるようにするには、次のセクションで説明するように、AWSKeyManagementServicePowerUser管理ポリシーをユーザーにアタッチします。

AWS KMSAWSSDKsまたはコマンドラインツールを使用して API を操作するユーザーには、最小限のコンソールアクセス権限を付与する必要はありませんただし、API を使用する権限をこれらのユーザーに付与する必要があります。詳細については、を参照してください AWS KMS API アクセス許可のリファレンス

パワーユーザーの AWS管理ポリシー

AWS管理ポリシーを使用して、 アカウントのプリンシパルIAMにパワーユーザーのアクセス権限を付与できます。パワーユーザーは、 CMKs の作成、作成した の使用と管理、すべての CMKsおよび CMKs ID の表示IAMを行うことができます。

注記

このポリシーは、 オペレーションを許可するキーポリシーを持つ に対して、パワーユーザー kms:DescribeKey CMKのアクセス許可を付与します。これは、信頼されていないCMKsアカウントに含まれる場合があります。AWS詳細については、「IAMポリシーのベストプラクティス」を参照してください。

AWSKeyManagementServicePowerUser管理ポリシーには以下のアクセス許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
  • ユーザーが を作成することを許可しますCMKs。このプロセスにはキーポリシーの設定が含まれているため、パワーユーザーは自身と他のユーザーに、自分が作成した を使用および管理するためのアクセス許可を付与CMKsできます。

  • すべての エイリアスとタグを作成および削除することをユーザーに許可します。CMKs

  • ユーザーが、キー ARN、暗号化設定、キーポリシー、エイリアス、タグ、CMKsローテーションステータスなど、すべての に関する詳細情報を取得できるようにします

  • ユーザーがIAMユーザー、グループ、およびロールを一覧表示できるようにします。

  • このポリシーでは、作成しなかったCMKsものを使用または管理するアクセス許可はこれらのユーザーに付与されませんが、ユーザーはすべての CMKs でエイリアスとタグを管理できます。

AWSKeyManagementServicePowerUser管理ポリシーを持つユーザーは、キーポリシー、他のIAMポリシー、許可など、他のソースからアクセス許可を取得することもできます。

カスタマー管理ポリシーの例

このセクションでは、さまざまな AWS KMS アクションのためのアクセス権限を付与する IAM ポリシーの例を示しています。

重要

以下のポリシーのアクセス権限の一部は、 CMK のキーポリシーがそれらも許可する場合にのみ許可されます。詳細については、を参照してください AWS KMS API アクセス許可のリファレンス

JSON ポリシードキュメントの作成と書式設定については、IAM ユーザーガイドの「IAM JSON ポリシーリファレンス」を参照してください。

CMKsコンソールAWS KMSの表示をユーザーに許可する

次の IAM ポリシーでは、AWS KMS コンソールへの読み取り専用アクセスをユーザーに許可します。これらのアクセス許可を持つユーザーは、CMKsアカウントAWS内のすべての を表示できますが、 を作成または変更することはできませんCMKs。

CMKs管理キーAWSおよびカスタマー管理キーページでの表示では、プリンシパルに kms:ListKeys および kms:ListAliases アクセス許可が必要です。CMK の詳細ページでオプションの CMK テーブルの列とデータを表示するには、残りの権限 (特に KMS: DescribeKey, ) が必要です。エラーなしでデフォルトのビューでキーポリシーを表示するには、 IAM : listUsers および IAM: listRoles のアクセス許可が必要です。カスタムキーストアページのデータおよびカスタムキーストアでの に関する詳細を表示するには、プリンシパルにも kms:DescribeCustomKeyStores CMKsアクセス許可が必要です。https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html

ユーザーのコンソールアクセスを特定の CMKs に制限すると、表示されない ごとにコンソールにエラーが表示されます。CMK

このポリシーには 2 つのポリシーステートメントが含まれます。最初のポリシーステートメントの要素では、サンプルResourceアカウントのすべてのリージョンCMKsで指定されたアクセス権限が に付与されます。AWSコンソールビューワーはプリンシパルのアカウントにのみ表示されるため、追加のアクセスは必要ありません。AWS KMSCMKsこれは、他のCMKsアカウントで表示するアクセス許可がある場合でも当てはまります。AWS残りの AWS KMS IAMおよび アクセス権限には、特定の には適用されないため、"Resource": "*"エレメントが必要ですCMK。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadOnlyAccessForAllCMKsInAccount", "Effect": "Allow", "Action": [ "kms:GetPublicKey", "kms:GetKeyRotationStatus", "kms:GetKeyPolicy", "kms:DescribeKey", "kms:ListKeyPolicies", "kms:ListResourceTags" ], "Resource": "arn:aws:kms:*:111122223333:key/*" }, { "Sid": "ReadOnlyAccessForOperationsWithNoCMK", "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }

ユーザーに の作成を許可するCMKs

次のIAMポリシーを使用すると、ユーザーは を作成できますCMKs。Resource要素の値は、*オペレーションが特定のCreateKeyリソース ( AWS KMS または エイリアス) を使用しないCMKsためです。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "kms:CreateKey", "Resource": "*" } }

キーを作成するプリンシパルには、関連するパーミッションが必要な場合があります。

  • kms:PutKeyPolicy —Principals (kms:CreateKeyアクセス許可を持つプリンシパル) では、 の初期キーポリシーを設定できますCMK。ただし、 CreateKey 呼び出し側には、CMK のキーポリシーを変更できる KMS: PutKeyPol icy 権限が必要です。または、の BypassPolicyLockoutSafetyCheck パラメータを指定する必要があり CreateKey, 、これは推奨されません。CreateKey呼び出し元は、 kms:PutKeyPolicy ポリシーCMKから のIAMアクセス許可を取得できます。または、作成中の のキーポリシーにこのアクセス許可を含めることができます。CMK

  • —kms:TagResource CMKオペレーションCreateKey中に にタグを追加するには、 CreateKey ポリシーで kms:TagResource IAMアクセス許可が発信者に必要です。新しい CMK のキーポリシーにこのアクセス許可を含めるだけでは不十分です。ただし、CreateKey呼び出し元が最初のキーポリシーに含める場合、 の作成後に別の呼び出しにタグを追加できます。kms:TagResourceCMK

  • コンソールで を作成する —kms:CreateAlias CMKAWS KMSPrincipals には、CMK とエイリアスに対する kms:CreateAlias アクセス権限が必要です。(コンソールは、へのコール CreateKey とへのコールを 2 つ行います CreateAlias)。IAMポリシーでエイリアスのアクセス許可を指定する必要があります。キーポリシーまたはポリシーでCMKアクセス許可を提供できます。IAM詳細については、「エイリアスへのアクセスの制御」を参照してください。

に加えて、次のkms:CreateKeyポリシーでは、IAMアカウント内のすべての kms:TagResource に対するアクセス権限と、アカウント内のすべてのエイリアスに対するCMKsアクセス権限が提供されます。AWSkms:CreateAliasまた、 IAM ポリシーでのみ指定できる有効な読み取り専用アクセス許可も含まれています。

このIAMポリシーには、kms:PutKeyPolicyキーポリシーで設定できるアクセス権限や他のアクセス権限は含まれません。ベストプラクティスとして、これらのアクセス許可を 1 つの にのみ適用されるキーポリシーで設定します。CMK

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPermissionsForParticularCMKs", "Effect": "Allow", "Action": { "kms:TagResource" }, "Resource": "arn:aws:kms:*:111122223333:key/*" }, { "Sid": "IAMPermissionsForParticularAliases", "Effect": "Allow", "Action": { "kms:CreateAlias" }, "Resource": "arn:aws:kms:*:111122223333:alias/*" }, { "Sid": "IAMPermissionsForAllCMKs", "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } ] }

ユーザーが特定の AWS アカウント内の任意の CMK を使用して暗号化および復号化を許可する

次のIAMポリシーでは、 アカウント CMK の任意の を使用してデータを暗号化および復号化AWSすることをユーザーに許可します。111122223333

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt" ], "Resource": "arn:aws:kms:*:111122223333:key/*" } }

特定のCMKアカウントとリージョンAWSの を使用した暗号化と復号化をユーザーに許可する

次のIAMポリシーでは、ユーザーはCMKリージョンAWS内の111122223333アカウントの を使用してデータを暗号化および復号できます。米国西部 (オレゴン)

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-west-2:111122223333:key/*" ] } }

特定の での暗号化と復号化をユーザーに許可するCMKs

次のIAMポリシーでは、CMKs要素でResource指定した 2 つのデータを使用したデータの暗号化と復号化をユーザーに許可します。を CMK ポリシーステートメントIAMで指定する場合は、 キー ARN を使用する必要がありますCMK。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" ] } }

ユーザーが を無効化または削除できないようにするCMKs

次のIAMポリシーでは、別のCMKsポリシーまたはキーポリシーでこれらのアクセス許可が許可されている場合でも、ユーザーによる IAM の無効化や削除を防ぎます。アクセス権限を明示的に拒否するポリシーは、同じアクセス権限を明示的に付与するポリシーを含め、他のすべてのポリシーを上書きします。詳細については、を参照してください キーアクセスのトラブルシューティング

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "kms:DisableKey", "kms:ScheduleKeyDeletion" ], "Resource": "*" } }