Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

AWS グローバル条件キー

PDF
RSS
フォーカスモード
AWS グローバル条件キー - AWS Key Management Service
IP アドレス条件の使用VPC および VPC エンドポイント条件の使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS は、アクセスコントロールに IAM を使用するすべての AWS サービスのポリシー条件キーのセットであるグローバル条件キーを定義します。 は、すべてのグローバル条件キー AWS KMS をサポートします。 AWS KMS キーポリシーと IAM ポリシーで使用できます。

例えば、aws:PrincipalArn グローバル条件キーを使用すると、リクエスト内のプリンシパルが条件キーバリューの Amazon リソースネーム (ARN) で表されている場合にのみ、 AWS KMS key (KMS キー) へのアクセスを許可できます。で属性ベースのアクセスコントロール (ABAC) をサポートするには AWS KMS、IAM ポリシーで aws:ResourceTag/tag-key グローバル条件キーを使用して、特定のタグを持つ KMS キーへのアクセスを許可できます。

プリンシパルが AWS サービスプリンシAWS パルであるポリシーで サービスを混乱した代理として使用しないようにするには、 aws:SourceArnまたは aws:SourceAccount グローバル条件キーを使用できます。詳細については、「aws:SourceArn または aws:SourceAccount 条件キーの使用」を参照してください。

利用可能なリクエストのタイプなど、 AWS グローバル条件キーの詳細については、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。IAM ポリシーでグローバル条件キーを使用する例については、IAM ユーザーガイドリクエストへのアクセスの制御およびタグキーの制御を参照してください。

以下のトピックでは、IP アドレスと VPC エンドポイントに基づく条件キーを使用するための特別なガイダンスを提供します。

AWS KMS アクセス許可を持つポリシーでの IP アドレス条件の使用

を使用して AWS KMS 、統合 AWS サービスでデータを保護できます。ただし、アクセスを許可または拒否する同じポリシーステートメントで IP アドレス条件演算子または aws:SourceIp 条件キーを指定する場合は注意が必要です AWS KMS。例えば、AWS「: 送信元 IP AWS に基づいて へのアクセスを拒否する」のポリシーでは、 AWS アクションを指定された IP 範囲からのリクエストに制限します。

次のシナリオを考えてみます。

  1. AWS「: ソース IP AWS に基づいて へのアクセスを拒否する」に示されているようなポリシーを IAM アイデンティティにアタッチします。aws:SourceIp 条件キーの値は、ユーザーの会社の IP アドレス範囲に設定します。この IAM アイデンティティには、Amazon EBS、Amazon EC2、 AWS KMSの使用を許可する他のポリシーがアタッチされています。

  2. アイデンティティは、暗号化された EBS ボリュームを EC2 インスタンスにアタッチしようとします。このアクションは、関連するすべてのサービスを使用するためのアクセス権限がユーザーに付与されているにもかかわらず、承認エラーが発生して失敗します。

ステップ 2 は失敗します。ボリュームの暗号化されたデータキーを復号 AWS KMS する へのリクエストは、Amazon EC2 インフラストラクチャに関連付けられている IP アドレスから送信されるためです。成功させるには、リクエストは、元のユーザーの IP アドレスからリクエストが送られてこなければなりません。ステップ 1 のポリシーでは、指定されたもの以外の IP アドレスからのすべてのリクエストが明示的に拒否されるため、Amazon EC2 は EBS ボリュームの暗号化されたデータキーを復号化する権限を拒否されます。

また、リクエストが Amazon VPC エンドポイントから送信される場合、aws:sourceIP 条件キーは無効です。リクエストを AWS KMS VPC エンドポイントなどの VPC エンドポイントに制限するには、aws:sourceVpce または aws:sourceVpc 条件キーを使用します。詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイント - エンドポイントの使用の管理」を参照してください。

AWS KMS アクセス許可を持つポリシーでの VPC エンドポイント条件の使用

AWS KMS 、 PrivateLink を使用する Amazon Virtual Private Cloud (Amazon VPC) エンドポイントをサポートしていますAWS PrivateLink キーポリシーと IAM ポリシーで次のグローバル条件キーを使用して、リクエストが VPC から送信されたとき、または VPC エンドポイントを使用する場合の AWS KMS リソースへのアクセスを制御できます。詳細については、「VPC エンドポイントを使用して AWS KMS リソースへのアクセスを制御する」を参照してください。

  • aws:SourceVpc は、指定した VPC からのリクエストにアクセスを制限します。

  • aws:SourceVpce は、指定した VPC エンドポイントからのリクエストにアクセスを制限します。

これらの条件キーを使用して KMS キーへのアクセスを制御すると、 が AWS KMS ユーザーに代わって使用する AWS サービスへのアクセスが誤って拒否される可能性があります。

IP アドレス条件キーの例のような状況にならないように注意してください。KMS キーのリクエストを VPC または VPC エンドポイントに制限すると、Amazon S3 や Amazon EBS などの統合サービス AWS KMS からの への呼び出しが失敗する可能性があります。 Amazon S3 ソースリクエストの最初の送信元が VPC 内または VPC エンドポイントであっても、これは発生することがあります。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.