キーポリシーを表示する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーポリシーを表示する

AWS KMS API の AWS KMS コンソールまたは GetKeyPolicy オペレーションを使用して、アカウントの AWS KMS カスタマーマネージドキーまたは AWS マネージドキー のキーポリシーを表示できます。これらの手法を使用して別の AWS アカウント にある KMS キーのキーポリシーを表示することはできません。

AWS KMS キーポリシーの詳細については、「のキーポリシー AWS KMS」を参照してください。KMS キーにアクセスできるユーザーとロールを特定する方法については、AWS KMS keys へのアクセスを特定する を参照してください。

認可されたユーザーは、AWS Management Console の [Key policy] (キーポリシー) タブで、AWS マネージドキー またはカスタマーマネージドキーのキーポリシーを表示できます。

AWS Management Console で KMS キーのキーポリシーを表示するには、kms:ListAliaseskms:DescribeKey、および kms:GetKeyPolicy 許可が必要です。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS マネージドキー] を選択します。ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。

  4. KMS キーのリストで、確認する KMS キーのエイリアスまたはキー ID を選択します。

  5. [Key policy] (キーポリシー) タブを選択します。

    [キーポリシー] タブに、キーポリシードキュメントが表示されることがあります。これはポリシービューです。キーポリシーステートメントでは、キーポリシーによって KMS キーへのアクセス許可を付与されたプリンシパルを表示して、それらが実行できるアクションを確認できます。

    次の例は、デフォルトのキーポリシーのポリシービューを示しています。

    AWS KMS コンソールのポリシービューでデフォルトのキーポリシーを表示する

    または、AWS Management Console で KMS キーを作成した場合、[Key administrators] (キー管理者)、[Key deletion] (キーの削除)、[Key Users] (キーユーザー) のセクションで、デフォルトビューを表示します。キーポリシードキュメントを表示するには、[ポリシービューに切り替える] を選択します。

    次の例は、デフォルトのキーポリシーのデフォルトのビューを示しています。

    AWS KMS コンソールのデフォルトビューでデフォルトキーポリシーを表示する

AWS アカウント で KMS キーのキーポリシーを取得するには、AWS KMS API で GetKeyPolicy オペレーションを使用します。このオペレーションを使用して、別のアカウントのキーポリシーを表示することはできません。

次の例では、AWS Command Line Interface (AWS CLI) で、get-key-policy コマンドを使用していますが、任意の AWS SDK を使用してこのリクエストを実行できます。

default が唯一の有効な値であっても、PolicyName パラメータ は必須であることに注意してください。また、このコマンドは、表示を容易にするために、JSON ではなくテキストでの出力を要求します。

このコマンドを実行する前に、サンプルキー ID をアカウントの有効なキー ID に置き換えます。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

レスポンスは、デフォルトのキーポリシーを返す、次のようなものである必要があります。

{
  "Version" : "2012-10-17",
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}