翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# キー削除へのアクセスを制御する
IAM ポリシーを使用して AWS KMS アクセス許可を許可する場合、管理者アクセス (`"Action": "*"`) または AWS KMS フルアクセス (`"Action": "kms:*"`) を持つ AWS IAM アイデンティティは、KMS キーの削除をスケジュールおよびキャンセルすることを既に許可されています。キー管理者がキーポリシーでキーの削除をスケジュールおよびキャンセルできるようにするには、 AWS KMS コンソールまたは AWS KMS API を使用します。
通常、キーの削除をスケジュールおよびキャンセルするための、アクセス許可を持っているのは、キー管理者のみです。ただし、これらのアクセス許可は、`kms:ScheduleKeyDeletion` と `kms:CancelKeyDeletion` のアクセス許可をキーポリシーまたは IAM ポリシーに追加すれば、他の IAM ID に付与することができます。[`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)条件キーを使用して、プリンシパルが [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) リクエストの `PendingWindowInDays` パラメータに指定できる値をさらに制限することもできます。
## キー管理者に、キー削除のスケジュールおよびキャンセルを許可する
### AWS KMS コンソールの使用
キー管理者に、キーの削除をスケジュールおよびキャンセルするためのアクセス許可を付与するには。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。
1. アクセス許可を変更する KMS キーのエイリアスまたはキー ID を選択します。
1. **[Key policy]** (キーポリシー) タブを選択します。
1. 次のステップは、キーポリシーのデフォルトビューとポリシービューで異なります。既定のビューは、既定のコンソールキーポリシーを使用している場合のみ、使用できます。使用していない場合は、ポリシービューのみを使用できます。
既定のビューを使用できる場合は、**[Key policy]** (キーポリシー) タブに **[Switch to policy view]** (ポリシービューに切り替え) または **[Switch to default view]** (既定のビューに切り替え) のいずれかのボタンが表示されます。
+ 既定のビュー:
1. **[Key deletion]** (キーの削除) で、**[Allow key administrators to delete this key]** (キー管理者にこのキーの削除を許可する) を選択します。
+ ポリシービュー:
1. **[編集]** を選択します。
1. キー管理者向けのポリシーステートメントで、`Action` 要素に `kms:ScheduleKeyDeletion` と `kms:CancelKeyDeletion` のアクセス許可を追加します。
```
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
}
```
1. **[Save changes]** (変更の保存) をクリックします。
### AWS KMS API の使用
を使用して AWS Command Line Interface 、キーの削除をスケジュールおよびキャンセルするためのアクセス許可を追加できます。
**キーの削除をスケジュールおよびキャンセルするアクセス許可を追加するには**
1. [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) コマンドを使用して、既存のキーポリシーを取得し、ポリシードキュメントをファイルに保存します。
1. 任意のテキストエディタでポリシードキュメントを開きます。キー管理者向けのポリシーステートメントで、`kms:ScheduleKeyDeletion` と `kms:CancelKeyDeletion` のアクセス許可を追加します。次の例は、これらの 2 つのアクセス許可を持つポリシーステートメントを示しています。
```
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
}
```
1. [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) コマンドを使用して、キーポリシーを KMS キーに適用します。