AWS KMS API のアクセス許可: アクションとリソースのリファレンス - AWS Key Management Service

AWS KMS API のアクセス許可: アクションとリソースのリファレンス

アクションとリソーステーブルは、キーポリシーIAM ポリシーアクセスコントロールを定義します。行には以下の情報が示されます。

  • API オペレーションとアクション (アクセス許可) には、各 AWS KMS API オペレーションおよびそのオペレーションを許可する関連アクション (アクセス許可) が一覧表示されます。ポリシーの Action 要素でアクションを指定します。

  • ポリシータイプは、このアクセス許可をキーポリシーで使用できるか、IAM ポリシーで使用できるかを示します。そのタイプがキーポリシーの場合、キーポリシーでこの許可を明示的に指定できます。また、IAM ポリシーを有効にするポリシーステートメントがキーポリシーに含まれている場合には、IAM ポリシーで許可を指定できます。そのタイプが IAM ポリシーの場合、IAM ポリシーのみでこの許可を明示的に指定できます。

  • [リソース] には、アクセス許可が適用される AWS KMS リソースが一覧表示されます。AWS KMS は、カスタマーマスターキー (CMK) とエイリアスの 2 つのリソースタイプをサポートしています。キーポリシーの場合、Resource 要素の値は常に * であり、キーポリシーがアタッチされている CMK を示します。

    IAM ポリシー内の AWS KMS リソースを表すには、次の値を使用します。

    CMK

    リソースがカスタマーマスターキー (CMK) の場合は、そのキー ARN を使用します。ヘルプについては、「キー ID と ARN を検索する」を参照してください。

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    例:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    エイリアス

    リソースがエイリアスの場合は、そのエイリアス ARN を使用します。エイリアス ARN を取得するには、ListAliases オペレーションを使用します。

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    例:

    arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

    * (アスタリスク)

    アクセス許可が特定のリソース (CMK またはエイリアス) に適用されない場合は、アスタリスク (*) を使用します。

    IAM ポリシーの AWS KMS アクセス許可の場合、Resource 要素のアスタリスクはすべての AWS KMS リソース (CMK とエイリアス) を示します。AWS KMS アクセス許可が特定の CMK やエイリアスに適用されない場合にも、Resource 要素でアスタリスクを使用できます。たとえば、kms:CreateKey 権限または kms:ListKeys 権限を許可または禁止する場合、Resource 要素を * に設定したり、アカウント固有のバリエーション (arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:* など) に設定したりできます。

  • AWS KMS 条件キーには、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの Condition 要素で条件を指定します。詳細については、「AWS KMS 条件キー」を参照してください。また、この列には AWS KMS でサポートされている (ただし、すべての AWS のサービスでサポートされているわけではない) AWS グローバル条件キーも表示されます。

AWS KMS API オペレーションとアクセス許可
API オペレーションとアクション (アクセス許可) ポリシータイプ リソース (IAM ポリシー用) AWS KMS 条件キー

CancelKeyDeletion

kms:CancelKeyDeletion

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAMポリシー

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

このオペレーションを使用するには、発信者には 2 つのリソースでの kms:CreateAlias 許可が必要です。

  • エイリアス (IAM ポリシーにおける)

  • CMK (キーポリシーにおける)

IAM ポリシー (エイリアス用)

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (CMK 用)

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService
CreateCustomKeyStore

kms:CreateCustomKeyStore

IAMポリシー

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

kms:ViaService

CreateKey

kms:CreateKey

IAMポリシー

*

kms:BypassPolicyLockoutSafetyCheck

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

Decrypt

kms:Decrypt

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

DeleteAlias

kms:DeleteAlias

このオペレーションを使用するには、発信者には 2 つのリソースでの kms:DeleteAlias 許可が必要です。

  • エイリアス (IAM ポリシーにおける)

  • CMK (キーポリシーにおける)

IAM ポリシー (エイリアス用)

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (CMK 用)

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAMポリシー

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAMポリシー

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DisableKey

kms:DisableKey

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAMポリシー

*

EnableKey

kms:EnableKey

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

キーポリシー

CMK(対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Encrypt

kms:Encrypt

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

キーポリシー

CMK(対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

キーポリシー

CMK(対称のみ)

GenerateDataKeyPair および GenerateDataKeyPairWithoutPlaintext は、対称 CMK によって保護される非対称データキーペアを生成します。

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:DataKeyPairSpec

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

キーポリシー

CMK(対称のみ)

GenerateDataKeyPair および GenerateDataKeyPairWithoutPlaintext は、対称 CMK によって保護される非対称データキーペアを生成します。

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:DataKeyPairSpec

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

キーポリシー

CMK(対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateRandom

kms:GenerateRandom

IAMポリシー

*

なし

GetKeyPolicy

kms:GetKeyPolicy

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

キーポリシー

CMK(対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

キーポリシー

CMK(対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

kms:WrappingAlgorithm

kms:WrappingKeySpec

GetPublicKey

kms:GetPublicKey

キーポリシー

CMK(非対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ImportKeyMaterial

kms:ImportKeyMaterial

キーポリシー

CMK(対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ExpirationModel

kms:ValidTo

kms:ViaService

ListAliases

kms:ListAliases

IAMポリシー

*

なし

ListGrants

kms:ListGrants

キーポリシー

CMK

kms:CallerAccount

kms:GrantIsForAWSResource

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ListKeyPolicies

kms:ListKeyPolicies

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ListKeys

kms:ListKeys

IAMポリシー

*

なし

ListResourceTags

kms:ListResourceTags

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAMポリシー

*

なし

PutKeyPolicy

kms:PutKeyPolicy

キーポリシー

CMK

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

このオペレーションを使用するには、発信者には 2 つの CMK での許可が必要です。

  • 復号化するために使用される CMK の kms:ReEncryptFrom

  • 暗号化するために使用される CMK の kms:ReEncryptTo

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ReEncryptOnSameKey

kms:ViaService

RetireGrant

許可を無効にするアクセス権限が許可で指定されます。ポリシーで、このオペレーションへのアクセスを制御することはできません。詳細については、『AWS Key Management Service API Reference』の「RetireGrant」を参照してください。

該当しません

該当しません

該当しません

RevokeGrant

kms:RevokeGrant

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:GrantIsForAWSResource

kms:ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

Sign

kms:Sign

キーポリシー

CMK(非対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:MessageType

kms:SigningAlgorithm

kms:ViaService

TagResource

kms:TagResource

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

aws:RequestTag (AWS グローバル条件キー)

aws:TagKeys (AWS グローバル条件キー)

UntagResource

kms:UntagResource

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

aws:RequestTag (AWS グローバル条件キー)

aws:TagKeys (AWS グローバル条件キー)

UpdateAlias

kms:UpdateAlias

このオペレーションを使用するには、発信者には 3 つのリソースでの kms:UpdateAlias 許可が必要です。

  • エイリアス

  • そのエイリアスが現在示している CMK

  • UpdateAlias リクエストで指定される CMK

IAM ポリシー (エイリアス用)

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (CMK 用)

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAMポリシー

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

キーポリシー

CMK

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

検証

kms:Verify

キーポリシー

CMK(非対称のみ)

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:MessageType

kms:SigningAlgorithm

kms:ViaService