キーポリシーの表示 - AWS Key Management Service

キーポリシーの表示

AWS マネジメントコンソール または AWS KMS API で GetKeyPolicy オペレーションを使用して、アカウントで AWS KMS カスタマー管理の CMK または AWS 管理の CMK のキーポリシーを表示できます。これらの手法を使用して、別の AWS アカウントにある CMK のキーポリシーを表示することはできません。

AWS KMS キーポリシーの詳細については、「AWS KMS でのキーポリシーの使用」を参照してください。CMK にアクセスできるユーザーとロールを特定する方法については、「AWS KMS カスタマーマスターキーへのアクセスの確認」を参照してください。

キーポリシーの表示 (コンソール)

承認されたユーザーは、AWS マネジメントコンソール の [キーポリシー] タブで、AWS 管理の CMK または カスタマー管理の CMK のキーポリシーを表示できます。

AWS マネジメントコンソール で CMK のキーポリシーを表示するには、kms:ListAliaseskms:DescribeKey、および kms:GetKeyPolicy の各アクセス許可が必要です。

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。 ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。

  4. CMK のリストで、確認する CMK のエイリアスまたはキー ID を選択します。

  5. [キーポリシー] タブを選択します。

    [キーポリシー] セクションに、キーポリシードキュメントが表示される場合があります。これはポリシービューです。キーポリシーステートメントでは、キーポリシーによって CMK へのアクセス許可を付与されたプリンシパルが表示され、それらが実行できるアクションを確認できます。

    次の例は、デフォルトのキーポリシーのポリシービューを示しています。

    
                        AWS KMS コンソールのポリシービューでのデフォルトキーポリシーの表示

    また、AWS マネジメントコンソール で CMK を作成した場合は、[キー管理者]、[キーの削除]、および [キーユーザー] のセクションを含む デフォルトビュー が表示されます。キーポリシードキュメントを表示するには、[ポリシービューに切り替える] を選択します。

    次の例は、デフォルトのキーポリシーのデフォルトのビューを示しています。

    
                        AWS KMS コンソールのデフォルトビューでのデフォルトキーポリシーの表示

キーポリシーの表示 (AWS KMS API)

AWS アカウントで AWS 管理の CMK またはカスタマー管理の CMK のキーポリシーを取得するには、AWS KMS API で GetKeyPolicy オペレーションを使用します。このオペレーションを使用して、別のアカウントのキーポリシーを表示することはできません。

次の例では、AWS Command Line Interface (AWS CLI) で get-key-policy コマンドを使用していますが、任意の AWS SDK を使用してこのリクエストを行うことができます。

default が唯一の有効な値であっても、PolicyName パラメータ は必須であることに注意してください。また、このコマンドは、表示を容易にするために、JSON ではなくテキストでの出力を要求します。

このコマンドを実行する前に、サンプルキー ID をアカウントの有効なキー ID に置き換えます。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

レスポンスは、デフォルトのキーポリシーを返す、次のようなものである必要があります。

{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }