共有 Amazon EBS スナップショットの暗号化に使用される KMS キーを共有 - アマゾン EBS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

共有 Amazon EBS スナップショットの暗号化に使用される KMS キーを共有

暗号化されたスナップショットを共有する場合は、スナップショットの暗号化に使用するカスタマーマネージド型キーも共有する必要があります。カスタマーマネージド型キーを作成したとき、または後でカスタマーマネージド型キーにクロスアカウント権限を適用することができます。

暗号化されたスナップショットにアクセスしている共有のカスタマーマネージド型キーのユーザーには、そのキーに対して、次の操作を実行するためのアクセス許可が与えられている必要があります。

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncrypt

  • kms:Decrypt

ヒント

最小権限のプリンシパルに従うには、kms:CreateGrant へのフルアクセスを許可しないでください。代わりに、 kms:GrantIsForAWSResource 条件キーを使用して、 AWS サービスによってユーザーに代わってグラントが作成された場合にのみ、ユーザーが KMS キーにグラントを作成できるようにします。

カスタマーマネージド型キーへのアクセスの制御方法については、AWS Key Management Service デベロッパーガイドAWS KMSでのキーポリシーの使用を参照してください。

AWS KMS コンソールを使用してカスタマーマネージドキーを共有するには

  1. https://console.aws.amazon.com/kms で AWS KMS コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマー管理型のキー] を選択します。

  4. [エイリアス] 列で、スナップショットの暗号化に使用したカスタマーマネージド型キーのエイリアス (テキストリンク) を選択します。キーの詳細が新しいページで開きます。

  5. [キーポリシー] セクションに、ポリシービューまたはデフォルトビューのいずれかが表示されます。ポリシービューは、キーポリシードキュメントを表示します。デフォルトビューは、[キー管理者][キーの削除][キーの使用][その他の AWS アカウント] の各セクションを表示します。デフォルトビューは、コンソールでポリシーを作成し、それをカスタマイズしていない場合に表示されます。デフォルトビューが使用できない場合は、ポリシービューでポリシーを手動で編集する必要があります。詳細については、AWS Key Management Service デベロッパーガイドキーポリシーの表示 (コンソール)を参照してください。

    アクセス可能なビューに応じて、ポリシービューまたはデフォルトビューのいずれかを使用して、次のように 1 つ以上の AWS アカウント IDsをポリシーに追加します。

    • (ポリシービュー) [編集] を選択します。次のステートメントに 1 つ以上の AWS アカウント IDs を追加します: "Allow use of the key"および "Allow attachment of persistent resources"。[Save changes] (変更の保存) をクリックします。次の例では、 AWS アカウント ID 444455556666がポリシーに追加されています。

      {
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:user/KeyUser",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}

    • (デフォルトビュー) 他の AWS アカウントまで下にスクロールします。他の AWS アカウントを追加を選択し、プロンプトに従って AWS アカウント ID を入力します。別のアカウントを追加するには、別の AWS アカウントを追加を選択し、 AWS アカウント ID を入力します。すべての AWS アカウントを追加したら、[Save changes] (変更の保存) を選択します。