翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS アクセス許可
この表は、 AWS KMS リソースへのアクセスを制御するためのアクセス AWS KMS 許可を理解するのに役立つように設計されています。列見出しの定義は、表の下に表示されます。
アクセス AWS KMS 許可については、「サービス認証リファレンス」の「 のアクション、リソース、および条件キー AWS Key Management Service」トピックでも説明されています。ただし、このトピックには、各許可の絞り込みに使用できる条件キーがすべて一覧表示されているわけではありません。
注記
テーブル内のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。
アクションおよびアクセス許可 | ポリシータイプ | クロスアカウントの使用 | リソース (IAM ポリシー用) | AWS KMS 条件キー |
---|---|---|---|---|
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
ConnectCustomKeyStore
|
IAM ポリシー | いいえ |
|
|
このオペレーションを使用するには、発信者には 2 つのリソースでの
詳細については、「エイリアスへのアクセスの制御」を参照してください。 |
IAM ポリシー (エイリアス用) |
いいえ |
エイリアス |
なし (エイリアスへのアクセスを制御する場合) |
キーポリシー (KMS キー用) |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
CreateCustomKeyStore
|
IAM ポリシー | いいえ |
|
|
|
キーポリシー |
はい |
KMS キー |
暗号化コンテキスト条件: kms:EncryptionContext:context-key 権限条件: KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
IAM ポリシー |
いいえ |
|
kms:BypassPolicyLockoutSafetyCheck aws:RequestTag/tag-key (AWS グローバル条件キー) aws:ResourceTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
このオペレーションを使用するには、発信者には 2 つのリソースでの
詳細については、「エイリアスへのアクセスの制御」を参照してください。 |
IAM ポリシー (エイリアス用) |
いいえ |
エイリアス |
なし (エイリアスへのアクセスを制御する場合) |
キーポリシー (KMS キー用) |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
DeleteCustomKeyStore
|
IAM ポリシー | いいえ |
|
|
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
DescribeCustomKeyStores
|
IAM ポリシー | いいえ |
|
|
|
キーポリシー |
はい |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
DisconnectCustomKeyStore
|
IAM ポリシー | いいえ |
|
|
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
いいえ |
KMS キー (対称のみ) |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー (対称のみ) |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー (対称のみ) 対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。 |
データキーペアの条件: 暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
GenerateDataKeyPairWithoutPlaintext
|
キーポリシー |
はい |
KMS キー (対称のみ) 対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。 |
データキーペアの条件: 暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
GenerateDataKeyWithoutPlaintext
|
キーポリシー |
はい |
KMS キー (対称のみ) |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
GenerateMac
|
キーポリシー | はい | KMS キー | KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) 暗号化オペレーションの条件: |
|
IAM ポリシー |
該当なし |
|
なし |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー (対称のみ) |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー (非対称のみ) |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: kms:ExpirationModel |
|
IAM ポリシー |
いいえ |
|
なし |
|
キーポリシー |
はい |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
IAM ポリシー |
いいえ |
|
なし |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
IAM ポリシー |
指定されたプリンシパルがローカルアカウントにある必要があります。オペレーションはすべてのアカウントで権限を返します。 |
|
なし |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
このオペレーションを使用するには、発信者に 2 つの KMS キーでのアクセス許可が必要です。
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
このオペレーションを使用するには、発信者に次のアクセス許可が必要です。
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
権限を使用停止にするアクセス許可は、主に権限によって決定されます。ポリシーだけでは、このオペレーションへのアクセスを許可することはできません。詳細については、「グラントの使用停止と取り消し」を参照してください。 |
IAM ポリシー (このアクセス許可はキーポリシーでは無効です)。 |
はい |
KMS キー |
aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
はい |
KMS キー (非対称のみ) |
署名および検証の条件: kms:RequestAliasKMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー) |
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー) |
このオペレーションを使用するには、発信者には 3 つのリソースでの
詳細については、「エイリアスへのアクセスの制御」を参照してください。 |
IAM ポリシー (エイリアス用) |
いいえ |
エイリアス |
なし (エイリアスへのアクセスを制御する場合) |
キーポリシー (KMS キー用) |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
UpdateCustomKeyStore
|
IAM ポリシー | いいえ |
|
|
|
キーポリシー |
いいえ |
KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
発信者がこのオペレーションを使用するには、レプリカキーとなるマルチリージョンプライマリキーと、プライマリキーとなるマルチリージョンレプリカキーの両方に対する |
キーポリシー |
いいえ | KMS キー |
KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件 |
|
キーポリシー |
はい | KMS キー (非対称のみ) |
署名および検証の条件: kms:RequestAliasKMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
VerifyMac
|
キーポリシー | はい | KMS キー | KMS キーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) 暗号化オペレーションの条件: |
列の説明
このテーブルの列には、以下の情報が表示されます:
-
アクションとアクセス許可には、各 AWS KMS API オペレーションと、オペレーションを許可するアクセス許可が一覧表示されます。ポリシーステートメントの
Action
要素でオペレーションを指定します。 -
ポリシータイプは、アクセス許可がキーポリシーまたは IAM ポリシーで使用できるかどうかを表示します。
キーポリシーは、キーポリシーでアクセス許可を指定できることを意味します。キーポリシーに IAM ポリシーを有効にするポリシーステートメントが含まれている場合には、IAM ポリシーで許可を指定できます。
IAM ポリシーは、IAM ポリシーでのみアクセス許可を指定できることを意味します。
-
クロスアカウント使用は、別の AWS アカウントで、認可されたユーザーが実行できるオペレーションを表示します。
はいの値は、別の AWS アカウントで、プリンシパルがリソースに対してオペレーションを実行できることを意味します。
いいえの値は、自分の AWS アカウントで、プリンシパルがリソースに対してのみオペレーションを実行できることを意味します。
別のアカウントのプリンシパルにクロスアカウントリソースで使用できないアクセス許可を付与した場合、そのアクセス許可は無効になります。例えば、別のアカウントのプリンシパルに kms:TagResource アカウントの KMS キーへのアクセス許可を付与すると、アカウントの KMS キーにタグを付ける試みは失敗します。
-
リソースには、アクセス許可が適用される AWS KMS リソースが一覧表示されます。 は、KMS キーとエイリアスの 2 つのリソースタイプ AWS KMS をサポートします。キーポリシーでは、
Resource
要素の値は常に*
であり、キーポリシーがアタッチされている KMS キーを示します。IAM ポリシーの AWS KMS リソースを表すには、次の値を使用します。
- KMS キー
-
リソースが KMS キーの場合は、そのキー ARN を使用します。ヘルプについては、「キー ID とキー ARN を検索する」を参照してください。
arn:
AWS_partition_name
:kms:AWS_Region
:AWS_account_ID
:key/key_ID
例:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- エイリアス
-
リソースがエイリアスの場合は、そのエイリアス ARN を使用します。ヘルプについては、「エイリアス名とエイリアス ARN を見つける」を参照してください。
arn:
AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:alias/alias_name
例:
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
*
(アスタリスク)-
アクセス許可が特定のリソース (KMS キーまたはエイリアス) に適用されない場合は、アスタリスク (
*
) を使用します。アクセス AWS KMS 許可の IAM ポリシーでは、
Resource
要素のアスタリスクはすべての AWS KMS リソース (KMS キーとエイリアス) を示します。アクセス AWS KMS 許可が特定の KMS キーまたはエイリアスに適用されない場合は、Resource
要素でアスタリスクを使用することもできます。例えば、kms:CreateKey
権限またはkms:ListKeys
権限を許可または禁止する場合、Resource
要素を*
に設定したり、アカウント固有のバリエーション (arn:
など) に設定したりできます。AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:*
-
AWS KMS 条件キーには、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの
Condition
要素で条件を指定します。詳細については、「AWS KMS 条件キー」を参照してください。この列には、 でサポートされているAWS グローバル条件キーも含まれていますが AWS KMS、すべての AWS サービスでサポートされているわけではありません。