翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクセス許可をテストする
AWS KMS を使用する場合は、AWS が API リクエストの認証に使用する認証情報が必要です。認証情報には、 KMS キーとエイリアスにアクセスするためのアクセス許可を含める必要があります。アクセス許可は、キーポリシー、IAM ポリシー、グラント、およびクロスアカウントアクセス制御によって決定されます。KMS キーへのアクセス制御に加えて、CloudHSM やカスタムキーストアへのアクセスを制御できます。
DryRun API パラメータを指定して、AWS KMS キーを使用するために必要なアクセス許可があることを確認できます。DryRun を使用して、AWS KMS API 呼び出しのリクエストパラメータが正しく指定されていることを確認することもできます。
DryRun パラメータとは
DryRun は、AWS KMS API 呼び出しが成功することを確認するために指定する API パラメータ (オプション) です。実際に AWS KMS を呼び出す前に、DryRun を使用して API 呼び出しをテストします。次のことを確認できます。
-
AWS KMS キーを使用するために必要なアクセス許可があること。
-
呼び出しのパラメータが正しく指定されていること。
AWS KMS は 特定の API アクションでの DryRun パラメータの使用をサポートします。
DryRun パラメータを使用すると料金が発生し、標準の API リクエストとして課金されます。AWS KMS の料金の詳細については、「AWS Key Management Service の料金
DryRun パラメータを使用するすべての API リクエストは API のリクエストクォータに適用され、API リクエストクォータを超えた場合にスロットリング例外が発生する可能性があります。例えば、Decrypt を呼び出す際に DryRun を使用する場合でも DryRun を使用しない場合でも、同じ暗号化オペレーションクォータに対してカウントされます。詳細については、「AWS KMS リクエストのスロットリング」を参照してください。
AWS KMS API オペレーションへのすべての呼び出しは、AWS CloudTrail ログにイベントとしてキャプチャおよび記録されます。DryRun パラメータを指定するすべてのオペレーションの出力が CloudTrail ログに表示されます。詳細については、「を使用した通話のログ記録 AWS KMS API AWS CloudTrail」を参照してください。
API で DryRun を指定する
DryRun を使用するには、—dry-run パラメータをサポートする AWS CLI コマンドと AWS KMS API 呼び出しでパラメータを指定します。実行すると、呼び出しが成功するかどうかが AWS KMS によって検証されます。 DryRun を使用する AWS KMS 呼び出しは常に失敗し、呼び出しが失敗した理由に関する情報を含むメッセージが返されます。メッセージには次の例外が含まれます。
-
DryRunOperationException‐DryRunが指定されていなければリクエストは成功します。 -
ValidationException‐ 間違った API パラメータが指定されたためリクエストが失敗しました。 -
AccessDeniedException‐ KMS リソースで指定された API アクションを実行するアクセス許可がありません。
例えば、次のコマンドは CreateGrant オペレーションを使用し、keyUserRole ロールの継承が承認されたユーザーが指定の対称 KMS キー上の Decrypt オペレーションを呼び出すことを許可するグラントを作成します。DryRun パラメータが指定されます。
$aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \ --operations Decrypt \ --dry-run
