キーポリシーの表示 - AWS Key Management Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

キーポリシーの表示

AWS KMSまたは CMK API オペレーションを使用して、アカウントで管理されている AWS CMK カスタマー管理または 管理の キーポリシーを表示できます。AWS マネジメントコンソールGetKeyPolicyAWS KMSこれらの手法を使用して、別のCMKアカウントの のキーポリシーを表示することはできません。AWS

AWS KMS キーポリシーの詳細については、「AWS KMS でのキーポリシーの使用」を参照してください。にアクセスできるユーザーとロールを特定する方法については、「」を参照してくださいCMK。AWS KMS カスタマーマスターキー へのアクセスの特定

キーポリシーの表示 (コンソール)

承認されたユーザーは、 のキーポリシータブで AWSCMK管理またはCMKカスタマー管理のキーポリシーを表示できますAWS マネジメントコンソール

CMKで AWS マネジメントコンソール のキーポリシーを表示するには、kms:ListAliases、kms:DescribeKey、および kms:GetKeyPolicy の各アクセス許可が必要です。

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。 ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。

  4. のリストで、確認する CMKs のエイリアスまたはキー ID を選択します。CMK

  5. [キーポリシー] タブを選択します。

    [ キーポリシー ] タブに、キーポリシードキュメントが表示されることがあります。これはポリシービューです。キーポリシーステートメントでは、キーポリシーCMKによって へのアクセス許可を付与されたプリンシパルが表示され、プリンシパルが実行できるアクションを確認できます。

    次の例は、デフォルトのキーポリシーのポリシービューを示しています。

    
                        コンソールのポリシービューでのデフォルトキーポリシーの表示AWS KMS

    または、 CMK AWS マネジメントコンソールで を作成した場合は、キー管理者、キー削除、およびキーユーザーのセクションを含むデフォルトビューが表示されますキーポリシードキュメントを表示するには、[ポリシービューに切り替える] を選択します。

    次の例は、デフォルトのキーポリシーのデフォルトのビューを示しています。

    
                        コンソールのデフォルトビューでのデフォルトキーポリシーの表示AWS KMS

キーポリシーの表示 (AWS KMS API)

アカウントAWSCMKで管理CMKされている またはAWS顧客のキーポリシーを取得するには、 API でGetKeyPolicyAWS KMSオペレーションを使用します。このオペレーションを使用して、別のアカウントのキーポリシーを表示することはできません。

次の例では、AWS Command Line Interface (AWS CLI) で get-key-policy コマンドを使用していますが、任意の AWS SDK を使用してこのリクエストを行うことができます。

default が唯一の有効な値であっても、PolicyName パラメータ は必須であることに注意してください。また、このコマンドは、表示を容易にするために、JSON ではなくテキストでの出力を要求します。

このコマンドを実行する前に、サンプルキー ID をアカウントの有効なキー ID に置き換えます。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

レスポンスは、デフォルトのキーポリシーを返す、次のようなものである必要があります。

{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }