キーポリシー内の AWS サービスのアクセス許可 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーポリシー内の AWS サービスのアクセス許可

多くの AWS サービスは AWS KMS keys 、 を使用して、管理するリソースを保護します。サービスが AWS 所有のキーまたは を使用する場合AWS マネージドキー、サービスはこれらのキーのKMSキーポリシーを確立して維持します。

ただし、お客様が AWS のサービスでカスタマーマネージドキーを使用する場合は、ご自身でキーポリシーを設定して管理します。ユーザーに代わってリソースを保護するのに必要な最小限のアクセス許可が、そのキーポリシーによってサービスに付与される必要があります。最小特権の原則 (サービスで必要なアクセス許可のみを付与) に従うことをお勧めします。どのアクセス許可がそのサービスで必要かを把握し、AWS グローバル条件キーおよび AWS KMS 条件キーを使用してアクセス許可を絞り込むことで、これを効果的に行うことができます。

カスタマーマネージドキーに対してサービスで必要になるアクセス許可を調べるには、そのサービスの暗号化に関するドキュメントを参照してください。例えば、Amazon Elastic Block Store (Amazon EBS) に必要なアクセス許可については、「Amazon EC2ユーザーガイド」および「Amazon ユーザーガイド」のIAM「ユーザーに対するアクセス許可」を参照してください。 EC2 Secrets Manager に必要なアクセス許可については、AWS Secrets Manager 「 ユーザーガイド」の「 KMSキーの使用の承認」を参照してください。