AWS KMS のキーポリシー - AWS Key Management Service

AWS KMS のキーポリシー

キーポリシーは、AWS KMS keyのためのリソースポリシーです。キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。すべての KMS キーには、厳密に 1 つのキーポリシーが必要です。キーポリシーのステートメントでは、KMS キーの使用が許可されるユーザーとその使用方法を決定します。IAM ポリシー権限を使用して KMS キーへのアクセスを制御することもできますが、すべての KMS キーにはキーポリシーが必要です。

キーポリシー、IAM ポリシー、または権限で明示的に許可され、拒否されない限り、キー作成者を含むすべてのプリンシパルは、KMS キーに対する許可を持ちません。

キーポリシーで明示的に許可されていない限り、IAM ポリシーを使用して KMS キーへのアクセスを許可することはできません。キーポリシーからの許可がない場合、許可を許可する IAM ポリシーは効力を持ちません。(IAM ポリシーを使用して、キーポリシーからの許可を得ることなく KMS キーに対する許可を拒否することができます。) デフォルトのキーポリシーでは IAM ポリシーが有効になっています。キーポリシーで IAM ポリシーを有効にするには、AWS アカウント へのアクセスを許可し、IAM ポリシーを有効にする で説明されているポリシーステートメントを追加します。

グローバルな IAM ポリシーとは異なり、キーポリシーはリージョナルです。キーポリシーは、同じリージョン内の KMS キーへのアクセスのみを制御します。他のリージョンの KMS キーには影響しません。