キー削除へのアクセスを制御する - AWS Key Management Service
キー管理者がキーの削除をスケジュールおよびキャンセルできるようにする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キー削除へのアクセスを制御する

IAM ポリシーを使用して AWS KMS アクセス許可を許可する場合、管理者アクセス ("Action": "*") または AWS KMS フルアクセス ("Action": "kms:*") を持つ AWS ID IAM は、キーの削除をスケジュールおよびキャンセルするために既に許可されていますKMS。キー管理者がキーポリシーでキーの削除をスケジュールおよびキャンセルできるようにするには、 AWS KMS コンソールまたは を使用します AWS KMS API。

通常、キーの削除をスケジュールおよびキャンセルするための、アクセス許可を持っているのは、キー管理者のみです。ただし、キーポリシーまたはポリシーに kms:ScheduleKeyDeletionおよび アクセス許可を追加することで、これらのアクセスkms:CancelKeyDeletion許可を他の ID IAM に付与できますIAM。kms:ScheduleKeyDeletionPendingWindowInDays 条件キーを使用して、プリンシパルがScheduleKeyDeletionリクエストの PendingWindowInDaysパラメータで指定できる値をさらに制限することもできます。

キー管理者がキーの削除をスケジュールおよびキャンセルできるようにする

キー管理者に、キーの削除をスケジュールおよびキャンセルするためのアクセス許可を付与するには。

  1. にサインイン AWS Management Console し、 AWS Key Management Service (AWS KMS) コンソールを https://console.aws.amazon.com/kms で開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. アクセス許可を変更するキーのエイリアスまたはKMSキー ID を選択します。

  5. [Key policy] (キーポリシー) タブを選択します。

  6. 次のステップは、キーポリシーの既定のビューとポリシービューで異なります。既定のビューは、既定のコンソールキーポリシーを使用している場合のみ、使用できます。使用していない場合は、ポリシービューのみを使用できます。

    既定のビューを使用できる場合は、[Key policy] (キーポリシー) タブに [Switch to policy view] (ポリシービューに切り替え) または [Switch to default view] (既定のビューに切り替え) のいずれかのボタンが表示されます。

    • 既定のビュー:

      1. [Key deletion] (キーの削除) で、[Allow key administrators to delete this key] (キー管理者にこのキーの削除を許可する) を選択します。

    • ポリシービュー:

      1. [編集] を選択します。

      2. キー管理者向けのポリシーステートメントで、Action 要素に kms:ScheduleKeyDeletionkms:CancelKeyDeletion のアクセス許可を追加します。

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. [Save changes] (変更の保存) をクリックします。

を使用して AWS Command Line Interface 、キーの削除をスケジュールおよびキャンセルするためのアクセス許可を追加できます。

キーの削除をスケジュールおよびキャンセルするアクセス許可を追加するには

  1. aws kms get-key-policy コマンドを使用して、既存のキーポリシーを取得し、ポリシードキュメントをファイルに保存します。

  2. 任意のテキストエディタでポリシードキュメントを開きます。キー管理者向けのポリシーステートメントで、kms:ScheduleKeyDeletionkms:CancelKeyDeletion のアクセス許可を追加します。次の例は、これらの 2 つのアクセス許可を持つポリシーステートメントを示しています。

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. aws kms put-key-policy コマンドを使用して、キーポリシーをKMSキーに適用します。