AWS KMS アクセス許可

この表は、 AWS KMS リソースへのアクセスを制御できるように、アクセス AWS KMS 許可を理解するのに役立つように設計されています。列見出しの定義は、表の下に表示されます。

また、 サービス認証リファレンスの「のアクション、リソース、および条件キー AWS Key Management Service」トピックでアクセス AWS KMS 許可について学ぶこともできます。ただし、このトピックには、各許可の絞り込みに使用できる条件キーがすべて一覧表示されているわけではありません。

注記

テーブル内のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

アクションおよびアクセス許可	ポリシータイプ	クロスアカウントの使用	リソース (IAM ポリシー用)	AWS KMS 条件キー
CancelKeyDeletion `kms:CancelKeyDeletion`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAM ポリシー	なし	`*`	km:CallerAccount
CreateAlias `kms:CreateAlias` このオペレーションを使用するには、発信者には 2 つのリソースでの `kms:CreateAlias` 許可が必要です。エイリアス (IAM ポリシーにおける) KMS キー (キーポリシー内) 詳細については、「エイリアスへのアクセスの制御」を参照してください。	IAM ポリシー (エイリアス用)	なし	エイリアス	なし (エイリアスへのアクセスを制御する場合)
	キーポリシー (KMS キー用)	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAM ポリシー	なし	`*`	km:CallerAccount
CreateGrant `kms:CreateGrant`	キーポリシー	あり	KMS キー	暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys 権限条件: km:GrantConstraintType km:GranteePrincipal km:GrantIsForAWSResource km:GrantOperations km:RetiringPrincipal KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
CreateKey `kms:CreateKey`	IAM ポリシー	なし	`*`	km:BypassPolicyLockoutSafetyCheck km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ViaService aws:RequestTag/tag-key (AWS グローバル条件キー） aws:ResourceTag/tag-key (AWS グローバル条件キー） aws:TagKeys (AWS グローバル条件キー）
Decrypt `kms:Decrypt`	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 km:EncryptionAlgorithm km:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
DeleteAlias `kms:DeleteAlias` このオペレーションを使用するには、発信者には 2 つのリソースでの `kms:DeleteAlias` 許可が必要です。エイリアス (IAM ポリシーにおける) KMS キー (キーポリシー内) 詳細については、「エイリアスへのアクセスの制御」を参照してください。	IAM ポリシー (エイリアス用)	なし	エイリアス	なし (エイリアスへのアクセスを制御する場合)
	キーポリシー (KMS キー用)	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAM ポリシー	なし	`*`	km:CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
DedriveSharedSecret `kms:DeriveSharedSecret`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService 暗号化オペレーションの条件: km:KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAM ポリシー	なし	`*`	km:CallerAccount
DescribeKey `kms:DescribeKey`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage kms:KeyOrigin kms:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:RequestAlias
DisableKey `kms:DisableKey`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
DisableKeyRotation `kms:DisableKeyRotation`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAM ポリシー	なし	`*`	km:CallerAccount
EnableKey `kms:EnableKey`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
EnableKeyRotation `kms:EnableKeyRotation`	キーポリシー	なし	KMS キー (対称のみ)	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService 自動キーローテーション条件： km:RotationPeriodInDays
暗号化 `kms:Encrypt`	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 km:EncryptionAlgorithm km:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GenerateDataKey `kms:GenerateDataKey`	キーポリシー	あり	KMS キー (対称のみ)	暗号化オペレーションの条件 km:EncryptionAlgorithm km:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	キーポリシー	あり	KMS キー (対称のみ) 対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。	データキーペアの条件: km:DataKeyPairSpec 暗号化オペレーションの条件 km:EncryptionAlgorithm km:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	キーポリシー	あり	KMS キー (対称のみ) 対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。	データキーペアの条件: km:DataKeyPairSpec 暗号化オペレーションの条件 km:EncryptionAlgorithm km:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	キーポリシー	あり	KMS キー (対称のみ)	暗号化オペレーションの条件 km:EncryptionAlgorithm km:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GenerateMac `kms:GenerateMac`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService 暗号化オペレーションの条件: km:MacAlgorithm km:RequestAlias
GenerateRandom `kms:GenerateRandom`	IAM ポリシー	該当なし	`*`	なし
GetKeyPolicy `kms:GetKeyPolicy`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	キーポリシー	あり	KMS キー (対称のみ)	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GetParametersForImport `kms:GetParametersForImport`	キーポリシー	なし	KMS キー	km:WrappingAlgorithm km:WrappingKeySpec KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
GetPublicKey `kms:GetPublicKey`	キーポリシー	あり	KMS キー (非対称のみ)	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:ExpirationModel km:ValidTo
ListAliases `kms:ListAliases`	IAM ポリシー	なし	`*`	なし
ListGrants `kms:ListGrants`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:GrantIsForAWSResource
ListKeyPolicies `kms:ListKeyPolicies`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
ListKeyRotations `kms:ListKeyRotations`	キーポリシー	なし	KMS キー (対称のみ)	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
ListKeys `kms:ListKeys`	IAM ポリシー	なし	`*`	なし
ListResourceTags `kms:ListResourceTags`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAM ポリシー	指定されたプリンシパルがローカルアカウントにある必要があります。オペレーションはすべてのアカウントで権限を返します。	`*`	なし
PutKeyPolicy `kms:PutKeyPolicy`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` このオペレーションを使用するには、発信者に 2 つの KMS キーでのアクセス許可が必要です。復号に使用される KMS キーの `kms:ReEncryptFrom` 暗号化に使用される KMS キーの `kms:ReEncryptTo`	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 km:EncryptionAlgorithm km:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` このオペレーションを使用するには、発信者に次のアクセス許可が必要です。マルチリージョンプライマリキーの `kms:ReplicateKey` レプリカリージョンの IAM ポリシーの `kms:CreateKey`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:ReplicaRegion
RetireGrant `kms:RetireGrant` 権限を使用停止にするアクセス許可は、主に権限によって決定されます。ポリシーだけでは、このオペレーションへのアクセスを許可することはできません。詳細については、「グラントの使用停止と取り消し」を参照してください。	IAM ポリシー (このアクセス許可はキーポリシーでは無効です)。	あり	KMS キー	暗号化コンテキスト条件: kms:EncryptionContext：context-key km:EncryptionContextKeys 権限条件: km:GrantConstraintType KMS キーオペレーションの条件: km:CallerAccount km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
RevokeGrant `kms:RevokeGrant`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件: km:GrantIsForAWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	キーポリシー	なし	KMS キー (対称のみ)	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
Sign `kms:Sign`	キーポリシー	あり	KMS キー (非対称のみ)	署名および検証の条件: km:MessageType km:RequestAlias km:SigningAlgorithm KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
TagResource `kms:TagResource`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー） aws:TagKeys (AWS グローバル条件キー）
UntagResource `kms:UntagResource`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー） aws:TagKeys (AWS グローバル条件キー）
UpdateAlias `kms:UpdateAlias` このオペレーションを使用するには、発信者には 3 つのリソースでの `kms:UpdateAlias` 許可が必要です。エイリアス現在関連付けられている KMS キー新しく関連付けられた KMS キー詳細については、「エイリアスへのアクセスの制御」を参照してください。	IAM ポリシー (エイリアス用)	なし	エイリアス	なし (エイリアスへのアクセスを制御する場合)
	キーポリシー (KMS キー用)	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAM ポリシー	なし	`*`	km:CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` 発信者がこのオペレーションを使用するには、レプリカキーとなるマルチリージョンプライマリキーと、プライマリキーとなるマルチリージョンレプリカキーの両方に対する `kms:UpdatePrimaryRegion` のアクセス許可が必要です。	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService その他の条件 km:PrimaryRegion
Verify `kms:Verify`	キーポリシー	あり	KMS キー (非対称のみ)	署名および検証の条件: km:MessageType km:RequestAlias km:SigningAlgorithm KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService
VerifyMac `kms:VerifyMac`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: km:CallerAccount km:KeySpec km:KeyUsage km:KeyOrigin km:MultiRegion km:MultiRegionKeyType km:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー） km:ViaService 暗号化オペレーションの条件: km:MacAlgorithm km:RequestAlias

列の説明

このテーブルの列には、以下の情報が表示されます:

アクションとアクセス許可には、各 AWS KMS API オペレーションと、オペレーションを許可するアクセス許可が一覧表示されます。ポリシーステートメントの Action 要素でオペレーションを指定します。
ポリシータイプは、アクセス許可がキーポリシーまたは IAM ポリシーで使用できるかどうかを表示します。

キーポリシーは、キーポリシーでアクセス許可を指定できることを意味します。キーポリシーに IAM ポリシーを有効にするポリシーステートメントが含まれている場合には、IAM ポリシーで許可を指定できます。

IAM ポリシーは、IAM ポリシーでのみアクセス許可を指定できることを意味します。
クロスアカウント使用は、別の AWS アカウントで、認可されたユーザーが実行できるオペレーションを表示します。

はいの値は、別の AWS アカウントで、プリンシパルがリソースに対してオペレーションを実行できることを意味します。

いいえの値は、自分の AWS アカウントで、プリンシパルがリソースに対してのみオペレーションを実行できることを意味します。

別のアカウントのプリンシパルにクロスアカウントリソースで使用できないアクセス許可を付与した場合、そのアクセス許可は無効になります。例えば、別のアカウントのプリンシパルに kms:TagResource アカウントの KMS キーへのアクセス許可を付与すると、アカウントの KMS キーにタグを付ける試みは失敗します。
リソースには、アクセス許可が適用される AWS KMS リソースが一覧表示されます。は、KMS キーとエイリアスの 2 つのリソースタイプ AWS KMS をサポートします。キーポリシーでは、Resource 要素の値は常に * であり、キーポリシーがアタッチされている KMS キーを示します。

IAM ポリシーの AWS KMS リソースを表すには、次の値を使用します。

KMS キー

リソースが KMS キーの場合は、そのキー ARN を使用します。ヘルプについては、「キー ID とキー ARN を検索する」を参照してください。

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

例:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

エイリアス

リソースがエイリアスの場合は、そのエイリアス ARN を使用します。ヘルプについては、「エイリアス名とエイリアス ARN を見つける」を参照してください。

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

例:

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

* (アスタリスク)

アクセス許可が特定のリソース (KMS キーまたはエイリアス) に適用されない場合は、アスタリスク (*) を使用します。

アクセス AWS KMS 許可の IAM ポリシーでは、 Resource要素のアスタリスクはすべての AWS KMS リソース (KMS キーとエイリアス) を示します。アクセス AWS KMS 許可が特定の KMS キーまたはエイリアスに適用されない場合は、 Resource要素でアスタリスクを使用することもできます。例えば、kms:CreateKey 権限または kms:ListKeys 権限を許可または禁止する場合、Resource 要素を * に設定したり、アカウント固有のバリエーション (arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:* など) に設定したりできます。
AWS KMS 条件キーには、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの Condition 要素で条件を指定します。詳細については、「AWS KMS 条件キー」を参照してください。この列には、でサポートされているAWS グローバル条件キーも含まれていますが AWS KMS、すべての AWS サービスでサポートされているわけではありません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

キーアクセスのトラブルシューティング

アクセス許可をテストする