のリソースコントロールポリシー AWS KMS - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のリソースコントロールポリシー AWS KMS

リソースコントロールポリシー (RCPsは、組織内の AWS リソースに予防コントロールを適用するために使用できる組織ポリシーの一種です。RCPsは、 AWS リソースへの外部アクセスを大規模に一元的に制限するのに役立ちます。RCPs、サービスコントロールポリシー (SCPs。SCPs を使用して組織内の IAM ロールとユーザーに最大アクセス許可を一元的に設定できますが、RCPs を使用して組織内の AWS リソースに最大アクセス許可を一元的に設定できます。

RCPs を使用して、組織内のカスタマーマネージド KMS キーへのアクセス許可を管理できます。RCPsだけでは、カスタマーマネージドキーにアクセス許可を付与するには不十分です。RCP によってアクセス許可は付与されません。RCP は、ID が影響を受けるアカウントのリソースに対して実行できるアクションに対するアクセス許可ガードレールを定義するか、制限を設定します。管理者は、実際にアクセス許可を付与するために、IAM ロールまたはユーザー、またはキーポリシーにアイデンティティベースのポリシーをアタッチする必要があります。

注記

組織内のリソースコントロールポリシーは、 には適用されませんAWS マネージドキー

AWS マネージドキー は、 AWS サービスによってユーザーに代わって作成、管理、使用されます。ユーザーのアクセス許可を変更または管理することはできません。

詳細はこちら

次の例は、RCP を使用して、外部プリンシパルが組織内のカスタマーマネージドキーにアクセスできないようにする方法を示しています。このポリシーは単なるサンプルであり、独自のビジネスおよびセキュリティニーズに合わせて調整する必要があります。例えば、ビジネスパートナーによるアクセスを許可するようにポリシーをカスタマイズできます。詳細については、「データ境界ポリシーの例」リポジトリを参照してください。

注記

アクセスkms:RetireGrant許可は、 Action要素でアスタリスク (*) をワイルドカードとして指定しても、RCP では有効ではありません。

へのアクセス許可の決定方法の詳細については、kms:RetireGrant「」を参照してくださいグラントの使用停止と取り消し

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceIdentityPerimeter",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

次の RCP の例では、 AWS リクエストが組織から発信された場合にのみ、サービスプリンシパルがカスタマーマネージド KMS キーにアクセスできることを要求しています。このポリシーは、 aws:SourceAccountが存在するリクエストにのみコントロールを適用します。これにより、 の使用を必要としないサービス統合aws:SourceAccountは影響を受けません。aws:SourceAccount がリクエストコンテキストに存在する場合、Null条件は に評価されtrueaws:SourceOrgIDキーが適用されます。

混乱した代理問題の詳細については、「IAM ユーザーガイド」の「混乱した代理問題」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}