AWS KMS のサービスにリンクされたロールの使用 - AWS Key Management Service
AWS KMS カスタムキーストア用のサービスにリンクされたロールのアクセス許可AWS KMS マルチリージョンキーのサービスリンクロールの許可AWS マネージドポリシーの AWS KMS 更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS のサービスにリンクされたロールの使用

AWS Key Management Service では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、AWS KMS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS KMS によって定義されたロールであり、ユーザーに代わってサービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS KMS の設定が簡単になります。このサービスリンクロールのアクセス許可は AWS KMS で定義します。特に定義されている場合を除き、AWS KMS のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、AWS KMS リソースが保護されます。

サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照して、[サービスリンクロール] 列が [はい] のサービスを探してください。[はい] のリンクを選択すると、該当するサービスのサービスリンクロールに関するドキュメントが表示されます。

AWS KMS カスタムキーストア用のサービスにリンクされたロールのアクセス許可

AWS KMS は、 という名前のサービスにリンクされたロールAWSServiceRoleForKeyManagementServiceCustomKeyStoresを使用して、カスタムキーストア をサポートします。このサービスリンクロールは、AWS KMS に、AWS CloudHSM クラスターを表示して、カスタムキーストアとその AWS CloudHSM クラスターをサポートするネットワークインフラストラクチャを作成する許可を付与します。AWS KMS はこのロールを、カスタムキーストアを作成する場合にのみ作成します。このサービスにリンクされたロールを直接作成することはできません。

サービスにリンクされたロール AWSServiceRoleForKeyManagementServiceCustomKeyStores は、このロールを引き受けるために cks.kms.amazonaws.com を信頼します。その結果、AWS KMS だけがこのサービスにリンクされたロールを引き受けることができます。

ロールのアクセス許可は、カスタムキーストアを AWS CloudHSM クラスターに接続するために AWS KMS が実行するアクションに限定されます。AWS KMS に対して追加のアクセス許可は付与されません。たとえば、AWS KMS に、AWS CloudHSM クラスター、HSM、またはバックアップを作成、管理、または削除するためのアクセス許可はありません。

AWSServiceRoleForKeyManagementServiceCustomKeyStores ロールの詳細とアクセス許可のリスト、およびロールの表示、ロールの説明の編集、ロールの削除、AWS KMS によるロールの再作成の手順については、「AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する」を参照してください。

AWS KMS マルチリージョンキーのサービスリンクロールの許可

AWS KMS は、 という名前のサービスにリンクされたロールAWSServiceRoleForKeyManagementServiceMultiRegionKeysを使用して、マルチリージョンキー をサポートします。このサービスリンクロールは、AWS KMS にアクセス許可を付与して、マルチリージョンのプライマリキーのキーマテリアルに対する変更をレプリカキーと同期します。AWS KMS はこのロールを、マルチリージョンプライマリキーを作成する場合にのみ作成します。このサービスにリンクされたロールを直接作成することはできません。

サービスにリンクされたロール AWSServiceRoleForKeyManagementServiceMultiRegionKeys は、このロールを引き受けるために mrk.kms.amazonaws.com を信頼します。その結果、AWS KMS だけがこのサービスにリンクされたロールを引き受けることができます。ロールのアクセス許可は、AWS KMS が実行するアクションに制限され、キーマテリアルと関連するマルチリージョンキーの同期を維持します。AWS KMS に対して追加のアクセス許可は付与されません。

AWSServiceRoleForKeyManagementServiceMultiRegionKeys ロールの詳細とアクセス許可のリスト、およびロールの表示、ロールの説明の編集、ロールの削除、AWS KMS によるロールの再作成の手順については、「マルチリージョンキーの同期を AWS KMS に認可する」を参照してください。

AWS マネージドポリシーの AWS KMS 更新

このサービスがこれらの変更の追跡を開始してからの、AWS KMS の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、[AWS KMS ドキュメント履歴] ページの RSS フィードを購読してください。

変更 説明 日付

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – 既存のポリシーの更新

AWS KMS は、AWS CloudHSM クラスターが含まれる VPC 内の変更を監視するための ec2:DescribeVpcsec2:DescribeNetworkAcls、および ec2:DescribeNetworkInterfaces 許可を追加して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにしました。

2023 年 11 月 10 日

AWS KMS は変更の追跡を開始しました

AWS KMS が AWS マネージドポリシーの変更の追跡を開始しました。

2023 年 11 月 10 日