AWS KMS リソースにアクセスするための IAM ポリシーの作成 - Amazon Aurora

AWS KMS リソースにアクセスするための IAM ポリシーの作成

Aurora は、データベースバックアップの暗号化に使用された AWS KMS keys にアクセスできます。ただし、初期に IAM ポリシーを作成してアクセス許可を付与し、Aurora が KMS キーにアクセスできるようにする必要があります。

次のポリシーでは、ユーザーの代わりに KMS キーにアクセスするために Aurora で必要となるアクセス許可が追加されています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>"
        }
    ]
}

次のステップを使用して、Aurora がユーザーの代わりに KMS キーにアクセスするために必要な最小限のアクセス許可を付与する IAM ポリシーを作成できます。

KMS キーへのアクセスを許可する IAM ポリシーを作成するには

  1. [IAM コンソール] を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ビジュアルエディタ] タブで、[サービスの選択] を選択し、[KMS] を選択します。

  5. [アクション] で、[書き込み]、[復号] の順に選択します。

  6. [リソース]、[ARN の追加] の順に選択します。

  7. [ARN の追加] ダイアログボックスで、以下の値を入力します。

    • [リージョン] - AWS リージョンを (us-west-2 のように) 入力します。

    • [アカウント] - ユーザーアカウント番号を入力します。

    • [ログストリーミング名] - KMS キー識別子を入力します。

  8. [ARN の追加] ダイアログボックスで、[追加] を選択します。

  9. [ポリシーの確認] を選択します。

  10. [名前] に、IAM ポリシーの名前 (AmazonRDSKMSKey など) を設定します。IAM ロールを作成して Aurora DB クラスターに関連付ける際に、この名前を使用します。オプションで [Description] 値を追加することもできます。

  11. [Create policy] (ポリシーを作成) を選択します。

  12. Amazon Aurora が AWS のサービスにアクセスすることを許可する IAM ロールの作成」の各ステップを実行します。