キーポリシーの変更 - AWS Key Management Service
キーポリシーを変更する方法複数のIAMプリンシパルにKMSキーへのアクセスを許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーポリシーの変更

でキーのKMSキーポリシーを変更できます。 AWS アカウント を使用した AWS Management Console または PutKeyPolicyオペレーション。これらの手法を使用して、別の のキーのKMSキーポリシーを変更することはできません。 AWS アカウント.

キーポリシーを変更する場合は、以下のルールに注意してください。

  • のキーポリシーを表示できます。 AWS マネージドキー またはカスタマーマネージドキー ですが、変更できるのはカスタマーマネージドキーのキーポリシーのみです。のポリシー AWS マネージドキー は、 によって作成および管理されます。 AWS アカウントでKMSキーを作成した サービス。のキーポリシーを表示または変更することはできません AWS 所有のキー.

  • IAM ユーザー、IAMロール、および を追加または削除できます。 AWS アカウント キーポリシーで、それらのプリンシパルに対して許可または拒否されるアクションを変更します。キーポリシーでプリンシパルとアクセス権限を指定する方法については、「キーポリシー」を参照してください。

  • キーポリシーにIAMグループを追加することはできませんが、複数のIAMユーザーとIAMロールを追加できます。詳細については、「複数のIAMプリンシパルにKMSキーへのアクセスを許可する」を参照してください。

  • 外部 を追加する場合 AWS アカウント をキーポリシーにするには、外部アカウントのIAMポリシーを使用して、それらのアカウントのIAMユーザー、グループ、またはロールにアクセス許可を付与する必要があります。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

  • 結果として得られるキーポリシードキュメントは 32 KB (32,768 バイト) を超えることはできません。

キーポリシーを変更する方法

キーポリシーは、以下のセクションで説明している 3 つの異なる方法で変更できます。

以下を使用 AWS Management Console デフォルトビュー

コンソールを使用して、デフォルトビューと呼ばれるグラフィカルインターフェイスで、キーポリシーを変更できます。

以下のステップがコンソールの表示と一致しない場合、このキーポリシーはコンソールで作成されなかった可能性があります。または、コンソールのデフォルトビューがサポートしていない方法でキーポリシーが変更されている可能性があります。その場合は、「以下を使用 AWS Management Console ポリシービュー」または「以下を使用 AWS KMS API」の手順に従ってください。

  1. キーポリシーの表示 (コンソール) の説明に従って、カスタマーマネージドキーのキーポリシーを表示します。( のキーポリシーは変更できません AWS マネージドキー.)

  2. 変更する対象を決定します。

    • キー管理者 を追加または削除し、キー管理者がKMSキー を削除することを許可または禁止するには、ページの「キー管理者」セクションのコントロールを使用します。キー管理者は、KMSキーの有効化と無効化、キーポリシーの設定、キーローテーションの有効化など、キーを管理します。

    • キーユーザー を追加または削除し、外部 を許可または禁止するには AWS アカウント KMS キーを使用するには、ページの「キーユーザー」セクションのコントロールを使用します。キーユーザーは、データKMSキーの暗号化、復号、再暗号化、生成などの暗号化オペレーションで キーを使用できます。

以下を使用 AWS Management Console ポリシービュー

コンソールのポリシービューで、キーポリシードキュメントを変更できます。

  1. キーポリシーの表示 (コンソール) の説明に従って、カスタマーマネージドキーのキーポリシーを表示します。( のキーポリシーは変更できません AWS マネージドキー.)

  2. [Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。

  3. キーポリシードキュメントを編集し、[変更の保存] を選択します。

以下を使用 AWS KMS API

PutKeyPolicy オペレーションを使用して、 のキーのKMSキーポリシーを変更できます。 AWS アカウント。 これは、別の APIのKMSキーでは使用できません。 AWS アカウント.

  1. GetKeyPolicy オペレーションを使用して既存のキーポリシードキュメントを取得し、キーポリシードキュメントを ファイルに保存します。複数のプログラミング言語のサンプルコードについては、「GetKeyPolicy で を使用する AWS SDK または CLI」を参照してください。

  2. 任意のテキストエディタでキーポリシードキュメントを開き、キーポリシードキュメントを編集してファイルを保存します。

  3. PutKeyPolicy オペレーションを使用して、更新されたキーポリシードキュメントをKMSキーに適用します。複数のプログラミング言語のサンプルコードについては、「PutKeyPolicy で を使用する AWS SDK または CLI」を参照してください。

あるキーから別のキーにKMSキーポリシーをコピーする例については、 GetKeyPolicy の例を参照してください。 AWS CLI コマンドリファレンス。

複数のIAMプリンシパルにKMSキーへのアクセスを許可する

IAM グループは、キーポリシーで有効なプリンシパルではありません。複数のユーザーとロールがKMSキーにアクセスできるようにするには、次のいずれかを実行します。

  • キーポリシーのプリンシパルとして IAMロールを使用します。必要に応じて、複数の権限を持つユーザーがそのロールを引き受けることができます。詳細については、「 ユーザーガイド」の「 IAMロール」を参照してください。 IAM

    キーポリシーでは複数のIAMユーザーを一覧表示できますが、この方法は、承認されたユーザーのリストが変更されるたびにキーポリシーを更新する必要があるため、推奨されません。また、IAMベストプラクティスでは、長期認証情報を持つIAMユーザーの使用は推奨されていません。詳細については、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAMIAM」を参照してください。

  • IAM ポリシーを使用して、 IAM グループに アクセス許可を付与します。これを行うには、キーポリシーに、キー へのアクセスを許可する IAM ステートメントが含まれていることを確認し、KMSキー へのアクセスを許可する IAMポリシーを作成しKMS、そのポリシーを承認されたユーザーを含む IAMグループにアタッチします。 IAMこのアプローチを使用すると、承認されたユーザーのリストが変更されたときにポリシーを変更する必要はありません。代わりに、これらのユーザーを適切なIAMグループに追加または削除するだけで済みます。詳細については、「 ユーザーガイド」のIAM「ユーザーグループIAM」を参照してください。

方法の詳細については、「」を参照してください。 AWS KMS キーポリシーと IAM ポリシーは連携します。「」を参照してくださいキーアクセスのトラブルシューティング