キーポリシーの変更 - AWS Key Management Service
キーポリシーを変更する方法複数の IAM プリンシパルが KMS キーにアクセスできるようにする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーポリシーの変更

AWS Management Console または PutKeyPolicyオペレーションAWS アカウントを使用して、 の KMS キーのキーポリシーを変更できます。これらの手法を使用して別の AWS アカウント にある KMS キーのキーポリシーを変更することはできません。

キーポリシーを変更する場合は、以下のルールに注意してください。

  • AWS マネージドキー または カスタマーマネージドキーのキーポリシーを表示できますが、変更できるのは、カスタマーマネージドキーのキーポリシーのみです。AWS マネージドキー のポリシーは、アカウントで KMS キーを作成した AWS のサービスによって作成および管理されます。AWS 所有のキー のキーポリシーは表示または変更できません。

  • キーポリシーで IAM ユーザー、IAM ロール、AWS アカウント を追加または削除し、これらのプリンシパルに対して許可または拒否されるアクションを変更できます。キーポリシーでプリンシパルとアクセス権限を指定する方法については、「キーポリシー」を参照してください。

  • IAM グループをキーポリシーに追加することはできませんが、複数の IAM ユーザーおよび IAM ロールを追加できます。詳細については、「複数の IAM プリンシパルが KMS キーにアクセスできるようにする」を参照してください。

  • 外部 AWS アカウント をキーポリシーに追加する場合は、外部アカウントの IAM ポリシーを使用して、それらのアカウントの IAM ユーザー、グループ、ロールにアクセス許可を付与する必要があります。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

  • 結果として得られるキーポリシードキュメントは 32 KB (32,768 バイト) を超えることはできません。

キーポリシーを変更する方法

キーポリシーは、以下のセクションで説明している 3 つの異なる方法で変更できます。

AWS Management Console のデフォルトビューの使用

コンソールを使用して、デフォルトビューと呼ばれるグラフィカルインターフェイスで、キーポリシーを変更できます。

以下のステップがコンソールの表示と一致しない場合、このキーポリシーはコンソールで作成されなかった可能性があります。または、コンソールのデフォルトビューがサポートしていない方法でキーポリシーが変更されている可能性があります。その場合は、「AWS Management Console のポリシービューの使用」または「AWS KMS API を使用する場合」の手順に従ってください。

  1. キーポリシーの表示 (コンソール) の説明に従って、カスタマーマネージドキーのキーポリシーを表示します。(AWS マネージドキー のキーポリシーの変更はできません)。

  2. 変更する対象を決定します。

    • キー管理者を追加または削除し、キー管理者による KMS キーの削除を許可または拒否するには、ページの [Key administrators] (キー管理者)セクションのコントロールを使用します。キー管理者は、KMS キーの有効化と無効化、キーポリシーの設定、キーローテーションの有効化などを含む KMS キーの管理を行います。

    • キーユーザーを追加または削除し、外部 AWS アカウント による KMS キーの使用を許可または拒否するには、本ページの [Key users] (キーユーザー) セクションのコントロールを使用します。キーユーザーは、データキーの暗号化、復号、再暗号化、生成などの暗号化オペレーションで KMS キーを使用できます。

AWS Management Console のポリシービューの使用

コンソールのポリシービューで、キーポリシードキュメントを変更できます。

  1. キーポリシーの表示 (コンソール) の説明に従って、カスタマーマネージドキーのキーポリシーを表示します。(AWS マネージドキー のキーポリシーの変更はできません)。

  2. [Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。

  3. キーポリシードキュメントを編集し、[変更の保存] を選択します。

AWS KMS API を使用する場合

PutKeyPolicy オペレーションを使用して、 の KMS キーのキーポリシーを変更できますAWS アカウント。この API を別の AWS アカウント の KMS キーで使用することはできません。

  1. GetKeyPolicy オペレーションを使用して既存のキーポリシードキュメントを取得し、キーポリシードキュメントをファイルに保存します。複数のプログラミング言語のサンプルコードについては、「キーポリシーの取得」を参照してください。

  2. 任意のテキストエディタでキーポリシードキュメントを開き、キーポリシードキュメントを編集してファイルを保存します。

  3. PutKeyPolicy オペレーションを使用して、更新されたキーポリシードキュメントを KMS キーに適用します。複数のプログラミング言語のサンプルコードについては、「キーポリシーの設定」を参照してください。

ある KMS キーから別の KMS キーにキーポリシーをコピーする例については、 AWS CLI コマンドリファレンスGetKeyPolicy の例を参照してください。

複数の IAM プリンシパルが KMS キーにアクセスできるようにする

IAM グループは、キーポリシー内の有効なプリンシパルではありません。複数のユーザーおよびロールが KMS キーにアクセスできるようにするには、次のいずれかを行います。

  • IAM ロールをキーポリシーのプリンシパルとして使用します。必要に応じて、複数の権限を持つユーザーがそのロールを引き受けることができます。詳細については、「IAM ユーザーガイド」の「IAM ロール」を参照してください。

    複数の IAM ユーザーをキーポリシーにリストすることは可能ですが、許可されたユーザーのリストが変更されるたびにキーポリシーを更新する必要があるため、この方法は推奨されません。また、IAM のベストプラクティスでは、長期的な認証情報を持つ IAM ユーザーの使用は推奨されていません。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。

  • IAM ポリシーを使用して IAM グループに許可を付与します。そのためには、キーポリシーに、IAM ポリシーでKMS キーへのアクセスを許可するステートメントが含まれていることを確認します。次に、KMS キーへのアクセスを許可する IAM ポリシーを作成し、そのポリシーを IAM グループ (許可された IAM ユーザーを含む) にアタッチします。このアプローチを使用すると、承認されたユーザーのリストが変更されたときにポリシーを変更する必要はありません。代わりに、適切な IAM グループに対してそれらのユーザーを追加または削除するだけで済みます。詳細については、「IAM ユーザーガイド」の「IAM ユーザーグループ」を参照してください。

AWS KMS キーポリシーと IAM ポリシーがどのように連携するかについての詳細は、キーアクセスのトラブルシューティング を参照してください。