キーポリシーの表示 - AWS Key Management Service

キーポリシーの表示

または AWS KMS API の AWS Management Console または GetKeyPolicy オペレーションを使用して、アカウントの AWS KMS カスタマーマネージドキーまたは AWS マネージドキー のキーポリシーを表示できます。これらの手法を使用して別の AWS アカウント にある KMS キーのキーポリシーを表示することはできません。

AWS KMS キーポリシーの詳細については、「AWS KMS のキーポリシー」を参照してください。KMS キーにアクセスできるユーザーとロールを特定する方法については、AWS KMS keys へのアクセスを特定する を参照してください。

キーポリシーの表示 (コンソール)

認可されたユーザーは、AWS Management Console の [Key policy] (キーポリシー) タブで、AWS マネージドキー またはカスタマーマネージドキーのキーポリシーを表示できます。

AWS Management Console で KMS キーのキーポリシーを表示するには、kms:ListAliaseskms:DescribeKey、および kms:GetKeyPolicy 許可が必要です。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS マネージドキー] を選択します。ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。

  4. KMS キーのリストで、確認する KMS キーのエイリアスまたはキー ID を選択します。

  5. [キーポリシー] タブを選択します。

    [キーポリシー] タブに、キーポリシードキュメントが表示されることがあります。これはポリシービューです。キーポリシーステートメントでは、キーポリシーによって KMS キーへのアクセス許可を付与されたプリンシパルを表示して、それらが実行できるアクションを確認できます。

    次の例は、デフォルトのキーポリシーのポリシービューを示しています。

    
                        AWS KMS コンソールのポリシービューでデフォルトのキーポリシーを表示する

    または、AWS Management Console で KMS キーを作成した場合、[Key administrators] (キー管理者)、[Key deletion] (キーの削除)、[Key Users] (キーユーザー) のセクションで、デフォルトビューを表示します。キーポリシードキュメントを表示するには、[ポリシービューに切り替える] を選択します。

    次の例は、デフォルトのキーポリシーのデフォルトのビューを示しています。

    
                        AWS KMS コンソールのデフォルトビューでデフォルトキーポリシーを表示する

キーポリシーの表示 (AWS KMS API)

AWS アカウント で KMS キーのキーポリシーを取得するには、AWS KMS API で GetKeyPolicy オペレーションを使用します。このオペレーションを使用して、別のアカウントのキーポリシーを表示することはできません。

次の例では、AWS Command Line Interface (AWS CLI) で、get-key-policy コマンドを使用していますが、任意の AWS SDK を使用してこのリクエストを実行できます。

PolicyName が唯一の有効な値であっても、default パラメータ は必須であることに注意してください。また、このコマンドは、表示を容易にするために、JSON ではなくテキストでの出力を要求します。

このコマンドを実行する前に、サンプルキー ID をアカウントの有効なキー ID に置き換えます。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

レスポンスは、デフォルトのキーポリシーを返す、次のようなものである必要があります。

{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM policies", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }