キーポリシーを変更する - AWS Key Management Service
キーポリシーを変更する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーポリシーを変更する

AWS アカウント の KMS キーのキーポリシーは、AWS Management Console または PutKeyPolicy オペレーションを使用して変更できます。これらの手法を使用して別の AWS アカウント にある KMS キーのキーポリシーを変更することはできません。

キーポリシーを変更する場合は、以下のルールに注意してください。

  • AWS マネージドキー または カスタマーマネージドキーのキーポリシーを表示できますが、変更できるのは、カスタマーマネージドキーのキーポリシーのみです。AWS マネージドキー のポリシーは、アカウントで KMS キーを作成した AWS のサービスによって作成および管理されます。AWS 所有のキー のキーポリシーは表示または変更できません。

  • キーポリシーで IAM ユーザー、IAM ロール、AWS アカウント を追加または削除し、これらのプリンシパルに対して許可または拒否されるアクションを変更できます。キーポリシーでプリンシパルとアクセス権限を指定する方法については、「キーポリシー」を参照してください。

  • IAM グループをキーポリシーに追加することはできませんが、複数の IAM ユーザーおよび IAM ロールを追加できます。詳細については、「複数の IAM プリンシパルが KMS キーにアクセスできるようにする」を参照してください。

  • 外部 AWS アカウント をキーポリシーに追加する場合は、外部アカウントの IAM ポリシーを使用して、それらのアカウントの IAM ユーザー、グループ、ロールにアクセス許可を付与する必要があります。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

  • 結果として得られるキーポリシードキュメントは 32 KB (32,768 バイト) を超えることはできません。

キーポリシーを変更する方法

キーポリシーは、以下のセクションで説明している 3 つの異なる方法で変更できます。

AWS Management Console のデフォルトビューの使用

コンソールを使用して、デフォルトビューと呼ばれるグラフィカルインターフェイスで、キーポリシーを変更できます。

以下のステップがコンソールの表示と一致しない場合、このキーポリシーはコンソールで作成されなかった可能性があります。または、コンソールのデフォルトビューがサポートしていない方法でキーポリシーが変更されている可能性があります。その場合は、「AWS Management Console のポリシービューの使用」または「AWS KMS API を使用する場合」の手順に従ってください。

  1. AWS KMS コンソールを使用する場合 の説明に従って、カスタマーマネージドキーのキーポリシーを表示します。(AWS マネージドキー のキーポリシーの変更はできません)。

  2. 変更する対象を決定します。

    • キー管理者を追加または削除し、キー管理者による KMS キーの削除を許可または拒否するには、ページの [Key administrators] (キー管理者)セクションのコントロールを使用します。キー管理者は、KMS キーの有効化と無効化、キーポリシーの設定、キーローテーションの有効化などを含む KMS キーの管理を行います。

    • キーユーザーを追加または削除し、外部 AWS アカウント による KMS キーの使用を許可または拒否するには、本ページの [Key users] (キーユーザー) セクションのコントロールを使用します。キーユーザーは、データキーの暗号化、復号、再暗号化、生成などの暗号化オペレーションで KMS キーを使用できます。

AWS Management Console のポリシービューの使用

コンソールのポリシービューで、キーポリシードキュメントを変更できます。

  1. AWS KMS コンソールを使用する場合 の説明に従って、カスタマーマネージドキーのキーポリシーを表示します。(AWS マネージドキー のキーポリシーの変更はできません)。

  2. [Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。

  3. キーポリシードキュメントを編集し、[変更の保存] を選択します。

AWS KMS API を使用する場合

PutKeyPolicy オペレーションを使用して、AWS アカウント の KMS キーのキーポリシーを変更できます。この API を別の AWS アカウント の KMS キーで使用することはできません。

  1. GetKeyPolicy オペレーションを使用して、既存のキーポリシードキュメントを取得し、そのキーポリシードキュメントをファイルに保存します。複数のプログラミング言語のサンプルコードについては、「または AWS SDK GetKeyPolicyで使用する CLI」を参照してください。

  2. 任意のテキストエディタでキーポリシードキュメントを開き、キーポリシードキュメントを編集してファイルを保存します。

  3. PutKeyPolicy オペレーションを使用して、更新されたキーポリシードキュメントを KMS キーに適用します。複数のプログラミング言語のサンプルコードについては、「または AWS SDK PutKeyPolicyで使用する CLI」を参照してください。

ある KMS キーから別の KMS キーにキーポリシーをコピーする例については、AWS CLI コマンドリファレンスの GetKeyPolicy の例を参照してください。