キー削除へのアクセスを制御する - AWS Key Management Service
キー管理者に、キー削除のスケジュールおよびキャンセルを許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キー削除へのアクセスを制御する

IAM ポリシーを使用して AWS KMS のアクセス許可を許可している場合、AWS 管理者アクセス ("Action": "*") または AWS KMS フルアクセス ("Action": "kms:*") を持つ IAM アイデンティティは、KMS キーの削除をスケジュールおよびキャンセルすることをすでに許可されています。キー管理者に、キーポリシーでの、キー削除のスケジュールおよびキャンセルを許可するには、AWS KMS コンソールまたは AWS KMS API を使用します。

通常、キーの削除をスケジュールおよびキャンセルするための、アクセス許可を持っているのは、キー管理者のみです。ただし、これらのアクセス許可は、kms:ScheduleKeyDeletionkms:CancelKeyDeletion のアクセス許可をキーポリシーまたは IAM ポリシーに追加すれば、他の IAM ID に付与することができます。kms:ScheduleKeyDeletionPendingWindowInDays条件キーを使用して、プリンシパルが ScheduleKeyDeletion リクエストの PendingWindowInDays パラメータに指定できる値をさらに制限することもできます。

キー管理者に、キー削除のスケジュールおよびキャンセルを許可する

キー管理者に、キーの削除をスケジュールおよびキャンセルするためのアクセス許可を付与するには。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. アクセス許可を変更する KMS キーのエイリアスまたはキー ID を選択します。

  5. [Key policy] (キーポリシー) タブを選択します。

  6. 次のステップは、キーポリシーの既定のビューとポリシービューで異なります。既定のビューは、既定のコンソールキーポリシーを使用している場合のみ、使用できます。使用していない場合は、ポリシービューのみを使用できます。

    既定のビューを使用できる場合は、[Key policy] (キーポリシー) タブに [Switch to policy view] (ポリシービューに切り替え) または [Switch to default view] (既定のビューに切り替え) のいずれかのボタンが表示されます。

    • 既定のビュー:

      1. [Key deletion] (キーの削除) で、[Allow key administrators to delete this key] (キー管理者にこのキーの削除を許可する) を選択します。

    • ポリシービュー:

      1. [編集] を選択します。

      2. キー管理者向けのポリシーステートメントで、Action 要素に kms:ScheduleKeyDeletionkms:CancelKeyDeletion のアクセス許可を追加します。

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. [Save changes] (変更の保存) をクリックします。

AWS Command Line Interface を使用すると、キーの削除をスケジュールおよびキャンセルするアクセス許可を追加できます。

キーの削除をスケジュールおよびキャンセルするアクセス許可を追加するには

  1. aws kms get-key-policy コマンドを使用して、既存のキーポリシーを取得し、ポリシードキュメントをファイルに保存します。

  2. 任意のテキストエディタでポリシードキュメントを開きます。キー管理者向けのポリシーステートメントで、kms:ScheduleKeyDeletionkms:CancelKeyDeletion のアクセス許可を追加します。次の例は、これらの 2 つのアクセス許可を持つポリシーステートメントを示しています。

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. aws kms put-key-policy コマンドを使用して、キーポリシーを KMS キーに適用します。