翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS KMS アクセス許可
<a name="kms-api-permissions-reference"></a>

この表は、 AWS KMS リソースへのアクセスを制御できるように、アクセス AWS KMS 許可を理解するのに役立つように設計されています。列見出しの定義は、表の下に表示されます。

アクセス AWS KMS 許可については、*「サービス認可リファレンス*[」の「 のアクション、リソース、および条件キー AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)」トピックでも確認できます。ただし、このトピックには、各許可の絞り込みに使用できる条件キーがすべて一覧表示されているわけではありません。

対称暗号化 KMS キー、非対称 KMS キー、および HMAC KMS キーに対して有効な AWS KMS オペレーションの詳細については、「」を参照してください[キータイプリファレンス](symm-asymm-compare.md)。

**注記**  
テーブル内のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

<a name="kms-api-permissions-reference-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/kms-api-permissions-reference.html)

## 列の説明
<a name="permissions-column-descriptions"></a>

このテーブルの列には、以下の情報が表示されます:
+ **アクションとアクセス許可**には、各 AWS KMS API オペレーションと、オペレーションを許可するアクセス許可が一覧表示されます。ポリシーステートメントの `Action` 要素でオペレーションを指定します。
+ **ポリシータイプ**は、アクセス許可がキーポリシーまたは IAM ポリシーで使用できるかどうかを表示します。

  *キーポリシー*は、キーポリシーでアクセス許可を指定できることを意味します。キーポリシーに [IAM ポリシーを有効にするポリシーステートメント](key-policy-default.md#key-policy-default-allow-root-enable-iam)が含まれている場合には、IAM ポリシーで許可を指定できます。

  *IAM ポリシー*は、IAM ポリシーでのみアクセス許可を指定できることを意味します。
+ **クロスアカウント使用**は、別の AWS アカウントで、認可されたユーザーが実行できるオペレーションを表示します。

  *はい*の値は、別の AWS アカウントで、プリンシパルがリソースに対してオペレーションを実行できることを意味します。

  *いいえ*の値は、自分の AWS アカウントで、プリンシパルがリソースに対してのみオペレーションを実行できることを意味します。

  別のアカウントのプリンシパルにクロスアカウントリソースで使用できないアクセス許可を付与した場合、そのアクセス許可は無効になります。例えば、別のアカウントでプリンシパルに、ユーザーのアカウントのKMS キーへの [kms:TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) 許可を付与した場合、KMS キーをユーザーのアカウントへタグ付けする試行は失敗します。
+ **リソース**には、アクセス許可が適用される AWS KMS リソースが一覧表示されます。 は、KMS キーとエイリアスの 2 つのリソースタイプ AWS KMS をサポートしています。キーポリシーでは、`Resource` 要素の値は常に `*` であり、キーポリシーがアタッチされている KMS キーを示します。

  IAM ポリシーの AWS KMS リソースを表すには、次の値を使用します。  
**KMS キー**  
リソースが KMS キーの場合は、その[キー ARN](concepts.md#key-id-key-ARN) を使用します。ヘルプについては、「[キー ID とキー ARN を検索する](find-cmk-id-arn.md)」を参照してください。  
`arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID`  
例:  
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab  
**エイリアス**  
リソースがエイリアスの場合は、その[エイリアス ARN](concepts.md#key-id-alias-ARN) を使用します。ヘルプについては、「[KMS キーのエイリアス名とエイリアス ARN を見つける](alias-view.md)」を参照してください。  
`arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name`  
例:  
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias  
**`*` (アスタリスク)**  
アクセス許可が特定のリソース (KMS キーまたはエイリアス) に適用されない場合は、アスタリスク (`*`) を使用します。  
アクセス AWS KMS 許可の IAM ポリシーでは、 `Resource`要素のアスタリスクはすべての AWS KMS リソース (KMS キーとエイリアス) を示します。アクセス AWS KMS 許可が特定の KMS キーまたはエイリアスに適用されない場合は、 `Resource`要素でアスタリスクを使用することもできます。例えば、`kms:CreateKey` または `kms:ListKeys` のアクセス許可を許可または拒否する場合は、`Resource` 要素を `*` に設定する必要があります。
+ **AWS KMS 条件キー**には、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの `Condition` 要素で条件を指定します。詳細については、「[AWS KMS 条件キー](conditions-kms.md)」を参照してください。この列には、 でサポートされている[AWS グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)も含まれていますが AWS KMS、すべての AWS サービスでサポートされているわけではありません。