IAM ポリシーのベストプラクティス

可能な限り、他のキーを含む多くのKMSキーに適用できる ポリシーではなく、1 つのキーに影響するKMSキーIAMポリシーでアクセス許可を付与します AWS アカウント。これは、kms:PutKeyPolicy や kms:ScheduleKeyDeletion などの機密性の高いアクセス許可だけでなく、データの保護方法を決定する暗号化オペレーションにも特に重要です。

キー (kms:CreateKey) を作成するアクセス許可を、それを必要とするプリンシパルにのみ付与します。KMS キーを作成するプリンシパルもそのキーポリシーを設定するため、自分や他のユーザーに、作成したKMSキーを使用および管理するためのアクセス許可を付与できます。このアクセス許可を許可する場合は、 ポリシー条件を使用して制限することを検討してください。例えば、kms:KeySpec 条件を使用して、アクセス許可を対称暗号化KMSキーに制限できます。

ベストプラクティスとして、ポリシーステートメントARNの Resource要素でアクセス許可が適用される各キーのKMSキーを指定します。この方法では、プリンシパルが必要とするKMSキーへのアクセス許可が制限されます。たとえば、このResource要素には、プリンシパルが使用する必要があるKMSキーのみが一覧表示されます。

"Resource": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
]

KMS キーの指定が実用的でない場合は、 などの信頼できる AWS アカウント およびリージョンのKMSキーへのアクセスを制限するResource値を使用しますarn:aws:kms:region:account:key/*。または、 など AWS アカウント、信頼された のすべてのリージョン (*) のKMSキーへのアクセスを制限しますarn:aws:kms:*:account:key/*。

IAM ポリシーの Resourceフィールドでキーを表すために、キー ID、エイリアス名、またはエイリアスARNを使用することはできません。 KMSエイリアス を指定するとARN、ポリシーはKMSキーではなくエイリアスに適用されます。エイリアスのIAMポリシーの詳細については、「」を参照してください。 エイリアスへのアクセスの制御

ワイルドカード文字 (*) を慎重に使用してください。キーポリシーでは、 Resource要素のワイルドカード文字はKMS、キーポリシーがアタッチされているキーを表します。ただし、 IAMポリシーでは、 Resource要素 ("Resource": "*") のワイルドカード文字だけで、プリンシパルのアカウント AWS アカウント が使用するアクセス許可を持つすべての のすべてのKMSキーにアクセス許可を適用します。これには、KMS他の のキー AWS アカウントと、プリンシパルのアカウントのKMSキーが含まれる場合があります。

たとえば、別の でKMSキーを使用するには AWS アカウント、プリンシパルに、外部アカウントのKMSキーのキーポリシーと、自分のアカウントの IAMポリシーからのアクセス許可が必要です。任意のアカウントがKMSキーに対する AWS アカウント kms:Decrypt アクセス許可を付与したとします。その場合、すべてのKMSキー ("Resource": "*") に対するロールkms:Decryptアクセス許可を付与するアカウントの IAMポリシーは、 要件を満たIAMします。その結果、そのロールを引き受けることができるプリンシパルは、信頼できないアカウントの KMSキーを使用して暗号文を復号できるようになりました。オペレーションのエントリは、両方のアカウントの CloudTrail ログに表示されます。

特に、次のAPIオペレーションを許可するポリシーステートメント"Resource": "*"で を使用しないでください。これらのオペレーションは、他の のKMSキーで呼び出すことができます AWS アカウント。

IAM ポリシーでは、Resource 要素でワイルドカード文字を使用するのは、それを必要とするアクセス許可の場合のみです。"Resource": "*" 要素が必要なのは、次の権限のみです。