AWS KMS アクセス許可 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS アクセス許可

この表は、 AWS KMS リソースへのアクセスを制御するためのアクセス AWS KMS 許可を理解するのに役立つように設計されています。列見出しの定義は、表の下に表示されます。

アクセス AWS KMS 許可については、「サービス認証リファレンス」の「 のアクション、リソース、および条件キー AWS Key Management Service」トピックでも説明されています。ただし、このトピックには、各許可の絞り込みに使用できる条件キーがすべて一覧表示されているわけではありません。

注記

テーブル内のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

アクションおよびアクセス許可 ポリシータイプ クロスアカウントの使用 リソース (IAM ポリシー用) AWS KMS 条件キー

CancelKeyDeletion

kms:CancelKeyDeletion

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM ポリシー いいえ

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

このオペレーションを使用するには、発信者には 2 つのリソースでの kms:CreateAlias 許可が必要です。

  • エイリアス (IAM ポリシーにおける)

  • KMS キー (キーポリシー内)

詳細については、「エイリアスへのアクセスの制御」を参照してください。

IAM ポリシー (エイリアス用)

いいえ

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (KMS キー用)

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM ポリシー いいえ

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

キーポリシー

はい

KMS キー

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

権限条件:

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

CreateKey

kms:CreateKey

IAM ポリシー

いいえ

*

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ViaService

aws:RequestTag/tag-key (AWS グローバル条件キー)

aws:ResourceTag/tag-key (AWS グローバル条件キー)

aws:TagKeys (AWS グローバル条件キー)

Decrypt

kms:Decrypt

キーポリシー

はい

KMS キー

暗号化オペレーションの条件

kms:EncryptionAlgorithm

kms:RequestAlias

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

DeleteAlias

kms:DeleteAlias

このオペレーションを使用するには、発信者には 2 つのリソースでの kms:DeleteAlias 許可が必要です。

  • エイリアス (IAM ポリシーにおける)

  • KMS キー (キーポリシー内)

詳細については、「エイリアスへのアクセスの制御」を参照してください。

IAM ポリシー (エイリアス用)

いいえ

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (KMS キー用)

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM ポリシー いいえ

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM ポリシー いいえ

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

キーポリシー

はい

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:RequestAlias

DisableKey

kms:DisableKey

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM ポリシー いいえ

*

kms:CallerAccount

EnableKey

kms:EnableKey

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

キーポリシー

いいえ

KMS キー (対称のみ)

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

暗号化

kms:Encrypt

キーポリシー

はい

KMS キー

暗号化オペレーションの条件

kms:EncryptionAlgorithm

kms:RequestAlias

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

キーポリシー

はい

KMS キー (対称のみ)

暗号化オペレーションの条件

kms:EncryptionAlgorithm

kms:RequestAlias

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

キーポリシー

はい

KMS キー (対称のみ)

対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。

データキーペアの条件:

kms:DataKeyPairSpec

暗号化オペレーションの条件

kms:EncryptionAlgorithm

kms:RequestAlias

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

キーポリシー

はい

KMS キー (対称のみ)

対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。

データキーペアの条件:

kms:DataKeyPairSpec

暗号化オペレーションの条件

kms:EncryptionAlgorithm

kms:RequestAlias

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

キーポリシー

はい

KMS キー (対称のみ)

暗号化オペレーションの条件

kms:EncryptionAlgorithm

kms:RequestAlias

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GenerateMac

kms:GenerateMac

キーポリシー はい KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

暗号化オペレーションの条件:

kms:MacAlgorithm

kms:RequestAlias

GenerateRandom

kms:GenerateRandom

IAM ポリシー

該当なし

*

なし

GetKeyPolicy

kms:GetKeyPolicy

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

キーポリシー

はい

KMS キー (対称のみ)

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

キーポリシー

いいえ

KMS キー

kms:WrappingAlgorithm

kms:WrappingKeySpec

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

GetPublicKey

kms:GetPublicKey

キーポリシー

はい

KMS キー (非対称のみ)

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:ExpirationModel

kms:ValidTo

ListAliases

kms:ListAliases

IAM ポリシー

いいえ

*

なし

ListGrants

kms:ListGrants

キーポリシー

はい

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

ListKeys

kms:ListKeys

IAM ポリシー

いいえ

*

なし

ListResourceTags

kms:ListResourceTags

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM ポリシー

指定されたプリンシパルがローカルアカウントにある必要があります。オペレーションはすべてのアカウントで権限を返します。

*

なし

PutKeyPolicy

kms:PutKeyPolicy

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

このオペレーションを使用するには、発信者に 2 つの KMS キーでのアクセス許可が必要です。

  • 復号に使用される KMS キーの kms:ReEncryptFrom

  • 暗号化に使用される KMS キーの kms:ReEncryptTo

キーポリシー

はい

KMS キー

暗号化オペレーションの条件

kms:EncryptionAlgorithm

kms:RequestAlias

暗号化コンテキスト条件:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

このオペレーションを使用するには、発信者に次のアクセス許可が必要です。

  • マルチリージョンプライマリキーの kms:ReplicateKey

  • レプリカリージョンの IAM ポリシーの kms:CreateKey

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:ReplicaRegion

RetireGrant

kms:RetireGrant

権限を使用停止にするアクセス許可は、主に権限によって決定されます。ポリシーだけでは、このオペレーションへのアクセスを許可することはできません。詳細については、「グラントの使用停止と取り消し」を参照してください。

IAM ポリシー

(このアクセス許可はキーポリシーでは無効です)。

はい

KMS キー

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

RevokeGrant

kms:RevokeGrant

キーポリシー

はい

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件:

kms:GrantIsForAWSResource

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

Sign

kms:Sign

キーポリシー

はい

KMS キー (非対称のみ)

署名および検証の条件:

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

TagResource

kms:TagResource

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

タグ付けの条件:

aws:RequestTag/tag-key (AWS グローバル条件キー)

aws:TagKeys (AWS グローバル条件キー)

UntagResource

kms:UntagResource

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

タグ付けの条件:

aws:RequestTag/tag-key (AWS グローバル条件キー)

aws:TagKeys (AWS グローバル条件キー)

UpdateAlias

kms:UpdateAlias

このオペレーションを使用するには、発信者には 3 つのリソースでの kms:UpdateAlias 許可が必要です。

  • エイリアス

  • 現在関連付けられている KMS キー

  • 新しく関連付けられた KMS キー

詳細については、「エイリアスへのアクセスの制御」を参照してください。

IAM ポリシー (エイリアス用)

いいえ

エイリアス

なし (エイリアスへのアクセスを制御する場合)

キーポリシー (KMS キー用)

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM ポリシー いいえ

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

発信者がこのオペレーションを使用するには、レプリカキーとなるマルチリージョンプライマリキーと、プライマリキーとなるマルチリージョンレプリカキーの両方に対する kms:UpdatePrimaryRegion のアクセス許可が必要です。

キーポリシー

いいえ

KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

その他の条件

kms:PrimaryRegion

Verify

kms:Verify

キーポリシー

はい

KMS キー (非対称のみ)

署名および検証の条件:

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

VerifyMac

kms:VerifyMac

キーポリシー はい KMS キー

KMS キーオペレーションの条件:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key (AWS グローバル条件キー)

kms:ViaService

暗号化オペレーションの条件:

kms:MacAlgorithm

kms:RequestAlias

列の説明

このテーブルの列には、以下の情報が表示されます:

  • アクションとアクセス許可には、各 AWS KMS API オペレーションと、オペレーションを許可するアクセス許可が一覧表示されます。ポリシーステートメントの Action 要素でオペレーションを指定します。

  • ポリシータイプは、アクセス許可がキーポリシーまたは IAM ポリシーで使用できるかどうかを表示します。

    キーポリシーは、キーポリシーでアクセス許可を指定できることを意味します。キーポリシーに IAM ポリシーを有効にするポリシーステートメントが含まれている場合には、IAM ポリシーで許可を指定できます。

    IAM ポリシーは、IAM ポリシーでのみアクセス許可を指定できることを意味します。

  • クロスアカウント使用は、別の AWS アカウントで、認可されたユーザーが実行できるオペレーションを表示します。

    はいの値は、別の AWS アカウントで、プリンシパルがリソースに対してオペレーションを実行できることを意味します。

    いいえの値は、自分の AWS アカウントで、プリンシパルがリソースに対してのみオペレーションを実行できることを意味します。

    別のアカウントのプリンシパルにクロスアカウントリソースで使用できないアクセス許可を付与した場合、そのアクセス許可は無効になります。例えば、別のアカウントのプリンシパルに kms:TagResource アカウントの KMS キーへのアクセス許可を付与すると、アカウントの KMS キーにタグを付ける試みは失敗します。

  • リソースには、アクセス許可が適用される AWS KMS リソースが一覧表示されます。 は、KMS キーとエイリアスの 2 つのリソースタイプ AWS KMS をサポートします。キーポリシーでは、Resource 要素の値は常に * であり、キーポリシーがアタッチされている KMS キーを示します。

    IAM ポリシーの AWS KMS リソースを表すには、次の値を使用します。

    KMS キー

    リソースが KMS キーの場合は、そのキー ARN を使用します。ヘルプについては、「キー ID とキー ARN を検索する」を参照してください。

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    例:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    エイリアス

    リソースがエイリアスの場合は、そのエイリアス ARN を使用します。ヘルプについては、「エイリアス名とエイリアス ARN を見つける」を参照してください。

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    例:

    arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

    * (アスタリスク)

    アクセス許可が特定のリソース (KMS キーまたはエイリアス) に適用されない場合は、アスタリスク (*) を使用します。

    アクセス AWS KMS 許可の IAM ポリシーでは、 Resource要素のアスタリスクはすべての AWS KMS リソース (KMS キーとエイリアス) を示します。アクセス AWS KMS 許可が特定の KMS キーまたはエイリアスに適用されない場合は、 Resource要素でアスタリスクを使用することもできます。例えば、kms:CreateKey 権限または kms:ListKeys 権限を許可または禁止する場合、Resource 要素を * に設定したり、アカウント固有のバリエーション (arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:* など) に設定したりできます。

  • AWS KMS 条件キーには、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの Condition 要素で条件を指定します。詳細については、「AWS KMS 条件キー」を参照してください。この列には、 でサポートされているAWS グローバル条件キーも含まれていますが AWS KMS、すべての AWS サービスでサポートされているわけではありません。