# AWS KMS リソースにアクセスするための IAM ポリシーの作成 Aurora は、データベースバックアップの暗号化に使用された AWS KMS keys にアクセスできます。ただし、初期に IAM ポリシーを作成してアクセス許可を付与し、Aurora が KMS キーにアクセスできるようにする必要があります。 次のポリシーでは、ユーザーの代わりに KMS キーにアクセスするために Aurora で必要となるアクセス許可が追加されています。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAuroraToAccessKey", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-ID" } ] } ``` ------ 次のステップを使用して、Aurora がユーザーの代わりに KMS キーにアクセスするために必要な最小限のアクセス許可を付与する IAM ポリシーを作成できます。 **KMS キーへのアクセスを許可する IAM ポリシーを作成するには** 1. [[IAM コンソール](https://console.aws.amazon.com/iam/home?#home)] を開きます。 1. ナビゲーションペインで、[**Policies (ポリシー)**] を選択します。 1. [**ポリシーの作成**] を選択します。 1. [**ビジュアルエディタ**] タブで、[**サービスの選択**] を選択し、[**KMS**] を選択します。 1. [**アクション**] で、[**書き込み**]、[**復号**] の順に選択します。 1. [**リソース**]、[**ARN の追加**] の順に選択します。 1. [**ARN の追加**] ダイアログボックスで、以下の値を入力します。 + [**リージョン**] - AWS リージョンを (`us-west-2` のように) 入力します。 + [**アカウント**] - ユーザーアカウント番号を入力します。 + [**ログストリーミング名**] - KMS キー識別子を入力します。 1. [**ARN の追加**] ダイアログボックスで、[**追加**] を選択します。 1. [**ポリシーの確認**] を選択します。 1. [**名前**] に、IAM ポリシーの名前 (`AmazonRDSKMSKey` など) を設定します。IAM ロールを作成して Aurora DB クラスターに関連付ける際に、この名前を使用します。オプションで [**Description**] 値を追加することもできます。 1. [**Create policy**] を選択します。 1. 「[Amazon Aurora が AWS のサービスにアクセスすることを許可する IAM ロールの作成](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md)」の各ステップを実行します。