翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS Key Management Service
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しいAPIオペレーションが利用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。
AWS 管理ポリシー: AWSKeyManagementServicePowerUser
AWSKeyManagementServicePowerUser ポリシーを IAM ID にアタッチできます。
AWSKeyManagementServicePowerUser 管理ポリシーを使用して、アカウントのIAMプリンシパルにパワーユーザーのアクセス許可を付与できます。パワーユーザーは、KMSキーの作成、作成したKMSキーの使用と管理、すべてのKMSキーと ID IAM の表示を行うことができます。AWSKeyManagementServicePowerUser 管理ポリシーを持つプリンシパルは、キーポリシー、他のポリシー、グランIAMトなど、他のソースからアクセス許可を取得することもできます。
AWSKeyManagementServicePowerUser は AWS マネージドIAMポリシーです。 AWS 管理ポリシーの詳細については、「 IAMユーザーガイド」の「 AWS 管理ポリシー」を参照してください。
注記
kms:TagResource や など、KMSキーに固有のこのポリシーのアクセス許可はkms:GetKeyRotationStatus、そのKMSキーのキーポリシーが がIAMポリシーを使用してキーへのアクセス AWS アカウント を制御することを明示的に許可している場合にのみ有効です。アクセス許可がKMSキーに固有のものであるかどうかを判断するには、「」を参照AWS KMS アクセス許可し、リソース列でKMSキーの値を探します。
このポリシーは、 オペレーションを許可するKMSキーポリシーを持つ任意のキーに対するアクセス許可をパワーユーザーに付与します。kms:DescribeKey や などのクロスアカウントアクセス許可の場合kms:ListGrants、これには信頼できない のKMSキーが含まれる場合があります AWS アカウント。詳細については、「IAM ポリシーのベストプラクティス」および「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。アクセス許可が他のアカウントのKMSキーに対して有効かどうかを判断するには、「」を参照AWS KMS アクセス許可し、クロスアカウント使用列で「はい」の値を探します。
プリンシパルがエラーなしで AWS KMS コンソールを表示できるようにするには、プリンシパルにタグ:GetResources アクセス許可が必要です。これはAWSKeyManagementServicePowerUserポリシーに含まれていません。このアクセス許可は、別のIAMポリシーで許可できます。
AWSKeyManagementServicePowerUser
-
プリンシパルがKMSキーを作成できるようにします。このプロセスにはキーポリシーの設定が含まれているため、パワーユーザーは自分自身や他のユーザーに、作成したKMSキーを使用および管理するためのアクセス許可を付与できます。
-
プリンシパルがすべてのKMSキーのエイリアスとタグを作成および削除できるようにします。タグまたはエイリアスを変更すると、KMSキーを使用および管理するためのアクセス許可を許可または拒否できます。詳細については、「AWS KMS の ABAC」を参照してください。
-
プリンシパルが、KMSキー ARN、暗号化設定、キーポリシー、エイリアス、タグ、ローテーションステータスなど、すべてのキーに関する詳細情報を取得できるようにします。
-
プリンシパルがIAMユーザー、グループ、ロールを一覧表示できるようにします。
-
このポリシーでは、プリンシパルが作成していないKMSキーを使用または管理することはできません。ただし、すべてのKMSキーのエイリアスとタグを変更でき、KMSキーを使用または管理するアクセス許可を許可または拒否する場合があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
AWS 管理ポリシー: AWSServiceRoleForKeyManagementServiceCustomKeyStores
IAM エンティティに AWSServiceRoleForKeyManagementServiceCustomKeyStores をアタッチすることはできません。このポリシーは、キーストアに関連付けられた AWS CloudHSM クラスターを表示し、カスタム AWS CloudHSM キーストアとその AWS CloudHSM クラスター間の接続をサポートするネットワークを作成するアクセス許可を に付与 AWS KMS する、サービスにリンクされたロールにアタッチされます。詳細については、「AWS CloudHSM と Amazon EC2リソースの管理 AWS KMS を に許可する」を参照してください。
AWS 管理ポリシー: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
IAM エンティティに AWSServiceRoleForKeyManagementServiceMultiRegionKeys をアタッチすることはできません。このポリシーは、マルチリージョンのプライマリキーのキーマテリアルへの変更をレプリカキーに同期するアクセス許可を に付与 AWS KMS する、サービスにリンクされたロールにアタッチされます。詳細については、「マルチリージョンキー AWS KMS の同期を に許可する」を参照してください。
AWS KMSAWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した AWS KMS 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートを受け取るには、ページのRSSフィードにサブスクライブします AWS KMS ドキュメント履歴。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – 既存のポリシーの更新 |
AWS KMS は、ポリシーバージョン v2 の管理ポリシーにステートメント ID ( |
2024 年 11 月 21 日 |
|
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – 既存のポリシーの更新 |
AWS KMS は、 AWS CloudHSM クラスターを含む の変更VPCをモニタリングする |
2023 年 11 月 10 日 |
|
AWS KMS が変更の追跡を開始しました |
AWS KMS が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 11 月 10 日 |
