翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS アクセス許可
このテーブルは、 AWS KMS リソースへのアクセスを制御できるように、 AWS KMS アクセス許可を理解するのに役立つように設計されています。列見出しの定義は、表の下に表示されます。
また、 サービス認可リファレンス のトピックのアクション、リソース、および条件キー AWS Key Management Serviceの AWS KMS アクセス許可についても学習できます。ただし、このトピックには、各許可の絞り込みに使用できる条件キーがすべて一覧表示されているわけではありません。
対称暗号化KMSキー、非対称キーKMS、およびHMACKMSキーに有効な AWS KMS オペレーションの詳細については、「」を参照してくださいキータイプリファレンス。
注記
テーブル内のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。
| アクションおよびアクセス許可 | ポリシータイプ | クロスアカウントの使用 | リソース (IAMポリシー用) | AWS KMS 条件キー |
|---|---|---|---|---|
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
| ConnectCustomKeyStore
|
IAM ポリシー | なし |
|
|
|
このオペレーションを使用するには、発信者には 2 つのリソースでの
詳細については、「エイリアスへのアクセスの制御」を参照してください。 |
IAM ポリシー (エイリアス用) |
なし |
エイリアス |
なし (エイリアスへのアクセスを制御する場合) |
|
キーポリシー (KMSキー用) |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
| CreateCustomKeyStore
|
IAM ポリシー | なし |
|
|
|
|
キーポリシー |
はい |
KMS キー |
暗号化コンテキスト条件: kms:EncryptionContext:context-key 権限条件: KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
IAM ポリシー |
なし |
|
kms:BypassPolicyLockoutSafetyCheck aws:RequestTag/tag-key (AWS グローバル条件キー) aws:ResourceTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー) |
|
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
このオペレーションを使用するには、発信者には 2 つのリソースでの
詳細については、「エイリアスへのアクセスの制御」を参照してください。 |
IAM ポリシー (エイリアス用) |
なし |
エイリアス |
なし (エイリアスへのアクセスを制御する場合) |
|
キーポリシー (KMSキー用) |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
| DeleteCustomKeyStore
|
IAM ポリシー | なし |
|
|
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
| DedriveSharedSecret
|
キーポリシー | はい | KMS キー | KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) 暗号化オペレーションの条件: |
| DescribeCustomKeyStores
|
IAM ポリシー | なし |
|
|
|
|
キーポリシー |
はい |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
| DisconnectCustomKeyStore
|
IAM ポリシー | なし |
|
|
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) 自動キーローテーション条件: |
|
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
はい |
KMS キー 対称暗号化キーで保護されている非対称データKMSキーペアを生成します。 |
データキーペアの条件: 暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
GenerateDataKeyPairWithoutPlaintext
|
キーポリシー |
はい |
KMS キー 対称暗号化キーで保護されている非対称データKMSキーペアを生成します。 |
データキーペアの条件: 暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
GenerateDataKeyWithoutPlaintext
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
| GenerateMac
|
キーポリシー | はい | KMS キー | KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) 暗号化オペレーションの条件: |
|
|
IAM ポリシー |
該当なし |
|
なし |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
はい |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
はい |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: kms:ExpirationModel |
|
|
IAM ポリシー |
なし |
|
なし |
|
|
キーポリシー |
はい |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
IAM ポリシー |
なし |
|
なし |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
IAM ポリシー |
指定されたプリンシパルがローカルアカウントにある必要があります。オペレーションはすべてのアカウントで権限を返します。 |
|
なし |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
このオペレーションを使用するには、発信者に 2 つのKMSキーに対するアクセス許可が必要です。
|
キーポリシー |
はい |
KMS キー |
暗号化オペレーションの条件 暗号化コンテキスト条件: kms:EncryptionContext:context-key KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
このオペレーションを使用するには、発信者に次のアクセス許可が必要です。
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
権限を使用停止にするアクセス許可は、主に権限によって決定されます。ポリシーだけでは、このオペレーションへのアクセスを許可することはできません。詳細については、「グラントの使用停止と取り消し」を参照してください。 |
IAM ポリシー (このアクセス許可はキーポリシーでは無効です)。 |
はい |
KMS キー |
暗号化コンテキスト条件: kms:EncryptionContext:context-key 権限条件: KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
はい |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件: |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
はい |
KMS キー |
署名および検証の条件: kms:RequestAliasKMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー) |
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー) |
|
このオペレーションを使用するには、発信者には 3 つのリソースでの
詳細については、「エイリアスへのアクセスの制御」を参照してください。 |
IAM ポリシー (エイリアス用) |
なし |
エイリアス |
なし (エイリアスへのアクセスを制御する場合) |
|
キーポリシー (KMSキー用) |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
| UpdateCustomKeyStore
|
IAM ポリシー | なし |
|
|
|
|
キーポリシー |
なし |
KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
|
発信者がこのオペレーションを使用するには、レプリカキーとなるマルチリージョンプライマリキーと、プライマリキーとなるマルチリージョンレプリカキーの両方に対する |
キーポリシー |
なし | KMS キー |
KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) その他の条件 |
|
|
キーポリシー |
はい | KMS キー |
署名および検証の条件: kms:RequestAliasKMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) |
| VerifyMac
|
キーポリシー | はい | KMS キー | KMSキーオペレーションの条件: aws:ResourceTag/tag-key (AWS グローバル条件キー) 暗号化オペレーションの条件: |
列の説明
このテーブルの列には、以下の情報が表示されます:
-
アクションとアクセス許可には、各 AWS KMS APIオペレーションと、オペレーションを許可するアクセス許可が一覧表示されます。ポリシーステートメントの
Action要素でオペレーションを指定します。 -
ポリシータイプは、アクセス許可をキーポリシーで使用できるかどうかを示しますIAM。
キーポリシーは、キーポリシーでアクセス許可を指定できることを意味します。キーポリシーにポリシー を有効にするポリシーステートメントが含まれている場合はIAM、IAMポリシーでアクセス許可を指定できます。
IAM ポリシー は、IAMポリシーでのみアクセス許可を指定できることを意味します。
-
クロスアカウント使用は、別の AWS アカウントで、認可されたユーザーが実行できるオペレーションを表示します。
はいの値は、別の AWS アカウントで、プリンシパルがリソースに対してオペレーションを実行できることを意味します。
いいえの値は、自分の AWS アカウントで、プリンシパルがリソースに対してのみオペレーションを実行できることを意味します。
別のアカウントのプリンシパルにクロスアカウントリソースで使用できないアクセス許可を付与した場合、そのアクセス許可は無効になります。例えば、別のアカウント kmsTagResource のプリンシパルにアカウントのKMSキーへのアクセス許可を付与すると、アカウントのKMSキーにタグを付ける試みは失敗します。
-
リソースには、アクセス許可が適用される AWS KMS リソースが一覧表示されます。 は、KMSキーとエイリアスという 2 つのリソースタイプ AWS KMS をサポートしています。キーポリシーでは、
Resource要素の値は常に であり*、キーポリシーがアタッチされているKMSキーを示します。次の値を使用して、IAMポリシー内の AWS KMS リソースを表します。
- KMS キー
-
リソースがKMSキーの場合は、キー ARNを使用します。ヘルプについては、「キー ID とキー ARN を検索する」を参照してください。
arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID例:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- エイリアス
-
リソースがエイリアスの場合は、そのエイリアス ARNを使用します。ヘルプについては、「ARN KMS キーのエイリアス名とエイリアスを検索する」を参照してください。
arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name例:
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
*(アスタリスク)-
アクセス許可が特定のリソース (KMSキーまたはエイリアス) に適用されない場合は、アスタリスク () を使用します
*。アクセス AWS KMS 許可のIAMポリシーでは、
Resource要素のアスタリスクはすべての AWS KMS リソース (KMSキーとエイリアス) を示します。アクセス AWS KMS 許可が特定のKMSキーやエイリアスに適用されない場合は、Resource要素でアスタリスクを使用することもできます。例えば、kms:CreateKeyまたはkms:ListKeysアクセス許可を許可または拒否する場合は、Resource要素を に設定する必要があります*。
-
AWS KMS 条件キーには、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの
Condition要素で条件を指定します。詳細については、「AWS KMS 条件キー」を参照してください。この列には、 でサポートされているAWS グローバル条件キーも含まれていますが AWS KMS、すべての AWS サービスでサポートされているわけではありません。
