AWS KMS のサービスにリンクされたロールの使用 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS のサービスにリンクされたロールの使用

AWS Key Management Service では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、AWS KMS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS KMS によって定義されたロールであり、ユーザーに代わってサービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS KMS の設定が簡単になります。このサービスリンクロールのアクセス許可は AWS KMS で定義します。特に定義されている場合を除き、AWS KMS のみがそのロールを引き受けることができます。定義された権限には、信頼ポリシーと権限ポリシーに含まれており、その権限ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、AWS KMS リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、IAM と連携する AWS のサービスを参照して、Service-Linked Role] (サービスにリンクされたロール)列で Yes] (はい) のあるサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、はいリンクを選択します。

AWS KMS カスタムキーストア用のサービスにリンクされたロールのアクセス許可

AWS KMS は、AWSServiceRoleForKeyManagementServiceCustomKeyStores という名前のサービスリンクロールを使用して、カスタムキーストアをサポートします。このサービスリンクロールは、AWS KMS に、AWS CloudHSM クラスターを表示して、カスタムキーストアとその AWS CloudHSM クラスターをサポートするネットワークインフラストラクチャを作成する許可を付与します。AWS KMS はこのロールを、カスタムキーストアを作成する場合にのみ作成します。このサービスにリンクされたロールを直接作成することはできません。

AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールは、ロールを引き受ける cks.kms.amazonaws.com ことを信頼します。その結果、AWS KMS だけがこのサービスにリンクされたロールを引き受けることができます。

ロールのアクセス許可は、カスタムキーストアを AWS CloudHSM クラスターに接続するために AWS KMS が実行するアクションに限定されます。AWS KMS に対して追加のアクセス許可は付与されません。たとえば、AWS KMS に、AWS CloudHSM クラスター、HSM、またはバックアップを作成、管理、または削除するためのアクセス許可はありません。

AWSServiceRoleForKeyManagementServiceCustomKeyStores ロールの、アクセス許可リスト、ロールの表示方法、ロールの説明の編集、ロールの削除、および AWS KMS による再作成の方法を含む詳細については、AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する を参照してください。

AWS KMS マルチリージョンキーのサービスリンクロールの許可

AWS KMS は、AWSServiceRoleForKeyManagementServiceMultiRegionKeys という名前のサービスリンクロールを使用して、マルチリージョンキーをサポートします。このサービスリンクロールは、AWS KMS にアクセス許可を付与して、マルチリージョンのプライマリキーのキーマテリアルに対する変更をレプリカキーと同期します。AWS KMS はこのロールを、マルチリージョンプライマリキーを作成する場合にのみ作成します。このサービスにリンクされたロールを直接作成することはできません。

AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスリンクロールは、mrk.kms.amazonaws.com を信頼してロールを引き受けます。その結果、AWS KMS だけがこのサービスにリンクされたロールを引き受けることができます。ロールのアクセス許可は、AWS KMS が実行するアクションに制限され、キーマテリアルと関連するマルチリージョンキーの同期を維持します。AWS KMS に対して追加のアクセス許可は付与されません。

AWSServiceRoleForKeyManagementServiceMultiRegionKeys ロールの、アクセス許可リスト、ロールの表示方法の説明、ロールの説明の編集、ロールの削除、および AWS KMS による再作成の方法を含む詳細については、マルチリージョンキーの同期を AWS KMS に認可する を参照してください。

AWS マネージドポリシーの AWS KMS 更新

このサービスがこれらの変更の追跡を開始してからの、AWS KMS の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、[AWS KMS ドキュメント履歴] ページの RSS フィードを購読してください。

変更 説明 日付

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – 既存ポリシーの更新

AWS KMS は、AWS CloudHSM クラスターが含まれる VPC 内の変更を監視するための ec2:DescribeVpcsec2:DescribeNetworkAcls、および ec2:DescribeNetworkInterfaces 許可を追加して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにしました。

2023 年 11 月 10 日

AWS KMS は変更の追跡を開始しました

AWS KMS が AWS マネージドポリシーの変更の追跡を開始しました。

2023 年 11 月 10 日