AWS Key Management Service
開発者ガイド

AWS KMS API のアクセス権限: アクションとリソースのリファレンス

アクションとリソーステーブルは、キーポリシーIAM ポリシーアクセスコントロールを定義します。行には以下の情報が示されます。

  • API オペレーションとアクション (許可) には、各 AWS KMS API オペレーションおよびそのオペレーションを許可する該当のアクション (許可) が一覧表示されています。ポリシーの Action 要素でアクションを指定します。

  • ポリシータイプは、この許可がキーポリシーあるいは IAM ポリシーで使用されることができるかを示しています。そのタイプがキーポリシーの場合、キーポリシーでこの許可を明示的に指定できます。また、IAM ポリシーを有効にするポリシーステートメントがキーポリシーに含まれている場合には、IAM ポリシーで許可を指定できます。そのタイプが IAM ポリシーの場合、IAM ポリシーのみでこの許可を明示的に指定できます。

  • リソースには、オペレーションを許可するリソースが一覧表示されます。IAM ポリシーでリソースを指定するには、Resource 要素に Amazon リソースネーム (ARN) を入力します。キーポリシーはアタッチされる CMK にのみ適用されるため、その Resource 要素の値は常に "*" です。

    各リソースタイプは、リソースを表すために使用する ARN に関連付けられています。

    CMK ARN

    リソースが CMK の場合は、CMK ARN を使って表します。

    arn:aws:kms:AWS_region:AWS_account_ID:key/CMK_key_ID

    エイリアス ARN

    リソースがエイリアスの場合は、エイリアス ARN を使って表します。

    arn:aws:kms:AWS_region:AWS_account_ID:alias/alias_name

  • AWS KMS 条件キーには、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの Condition 要素で条件を指定します。詳細については、「AWS KMS 条件キー」を参照してください。また、この列には AWS KMS でサポートされる (ただし、すべての AWS サービスではなく) AWS グローバル条件キーも含まれています。

表の右上隅に矢印 () が表示された場合、その表は新しいウィンドウで開くことができます。ウィンドウを閉じるには、右下隅にある閉じるボタン (X) を選択します。

AWS KMS API オペレーションとアクセス権限

API オペレーションとアクション (アクセス権限) ポリシー タイプ リソース (IAM ポリシー用) AWS KMS 条件キー

CancelKeyDeletion

kms:CancelKeyDeletion

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAMポリシー * kms:CallerAccount

CreateAlias

kms:CreateAlias

このオペレーションを使用するには、発信者には 2 つのリソースでの kms:CreateAlias 許可が必要です。

  • エイリアス (IAM ポリシーにおける)

  • CMK (キーポリシーにおける)

IAM ポリシー (エイリアス用)

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (CMK 用)

CMK

kms:CallerAccount

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAMポリシー * kms:CallerAccount

CreateGrant

kms:CreateGrant

キーポリシー

CMK

kms:CallerAccount

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

kms:ViaService

CreateKey

kms:CreateKey

IAMポリシー

*

kms:BypassPolicyLockoutSafetyCheck

kms:KeyOrigin

Decrypt

kms:Decrypt

キーポリシー

CMK

kms:CallerAccount

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

DeleteAlias

kms:DeleteAlias

このオペレーションを使用するには、発信者には 2 つのリソースでの kms:DeleteAlias 許可が必要です。

  • エイリアス (IAM ポリシーにおける)

  • CMK (キーポリシーにおける)

IAM ポリシー (エイリアス用)

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (CMK 用)

CMK

kms:CallerAccount

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAMポリシー * kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAMポリシー * kms:CallerAccount

DescribeKey

kms:DescribeKey

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

DisableKey

kms:DisableKey

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAMポリシー * kms:CallerAccount

EnableKey

kms:EnableKey

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

Encrypt

kms:Encrypt

キーポリシー

CMK

kms:CallerAccount

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

キーポリシー

CMK

kms:CallerAccount

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

キーポリシー

CMK

kms:CallerAccount

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ViaService

GenerateRandom

kms:GenerateRandom

IAMポリシー

*

なし

GetKeyPolicy

kms:GetKeyPolicy

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

kms:WrappingAlgorithm

kms:WrappingKeySpec

ImportKeyMaterial

kms:ImportKeyMaterial

キーポリシー

CMK

kms:CallerAccount

kms:ExpirationModel

kms:ValidTo

kms:ViaService

ListAliases

kms:ListAliases

IAMポリシー

*

なし

ListGrants

kms:ListGrants

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

ListKeyPolicies

kms:ListKeyPolicies

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

ListKeys

kms:ListKeys

IAMポリシー

*

なし

ListResourceTags

kms:ListResourceTags

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAMポリシー

*

なし

PutKeyPolicy

kms:PutKeyPolicy

キーポリシー

CMK

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:ViaService

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

このオペレーションを使用するには、発信者には 2 つの CMK での許可が必要です。

  • 復号化するために使用される CMK の kms:ReEncryptFrom

  • 暗号化するために使用される CMK の kms:ReEncryptTo

キーポリシー

CMK

kms:CallerAccount

kms:EncryptionContext:

kms:EncryptionContextKeys

kms:ReEncryptOnSameKey

kms:ViaService

RetireGrant

許可を無効にするアクセス権限が許可で指定されます。ポリシーで、このオペレーションへのアクセスを制御することはできません。詳細については、『AWS Key Management Service API Reference』の「RetireGrant」を参照してください。

該当しません

該当しません

該当しません

RevokeGrant

kms:RevokeGrant

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

TagResource

kms:TagResource

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

aws:RequestTag (AWS グローバル条件キー)

aws:TagKeys (AWS グローバル条件キー)

UntagResource

kms:UntagResource

キーポリシー

CMK

kms:CallerAccount

kms:ViaService

aws:RequestTag (AWS グローバル条件キー)

aws:TagKeys (AWS グローバル条件キー)

UpdateAlias

kms:UpdateAlias

このオペレーションを使用するには、発信者には 3 つのリソースでの kms:UpdateAlias 許可が必要です。

  • エイリアス

  • そのエイリアスが現在示している CMK

  • UpdateAlias リクエストで指定される CMK

IAM ポリシー (エイリアス用)

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (CMK 用)

CMK

kms:CallerAccount

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAMポリシー * kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

キーポリシー

CMK

kms:CallerAccount

kms:ViaService