View a markdown version of this page

AWS サポート 認可用の AWS KMS キーの設定 - AWS サポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS サポート 認可用の AWS KMS キーの設定

キーに関する要件

サポート許可の暗号化署名には、カスタマーマネージド AWS KMS キーが必要です。キーは、次の要件を満たしている必要があります。

  • キー仕様: ECC_NIST_P384

  • 主な使用法: SIGN_VERIFY

  • キーは、サポート許可と同じ AWS リージョンにある必要があります。

プライベートキーマテリアルが離れることはありません AWS KMS。、DescribeKeyGetPublicKeyおよび の呼び出しを許可する権限をキーに作成しますSign。許可の範囲はサポート許可に限定され、サポート許可が削除または非アクティブ化されると廃止されます。

AWS サポート 認可が AWS KMS キーを使用する方法

サポート許可を作成すると、 AWS KMS キーは次の方法で使用されます。

  1. 転送アクセスセッションを使用してDescribeKeyユーザーに代わって を呼び出し、キーが必要な仕様 (ECC_NIST_P384) と使用状況 () を満たしていることを確認しますSIGN_VERIFY

  2. ユーザーCreateGrantに代わって を呼び出して、キーに許可を作成します。この許可によりDescribeKey、、GetPublicKey、および Signオペレーションが許可されます。

  3. 許可を使用してキーSignで を呼び出すことで、 AWS サポート リクエストが既存のサポート許可と一致するときに認可を検証します。結果の署名は、 AWS サポート がアクションを実行する権限があることを確認します。

必要なキーポリシーステートメント

次のポリシーステートメントを AWS KMS キーポリシーに追加します。これらは、キーを使用するための AWS サポート 認可に必要な最小限のアクセス許可です。

{ "Sid": "Allows access to CreateGrant through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:CreateGrant"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"] }, "ArnLike": { "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*" } } }, { "Sid": "Allows access to DescribeKey through SupportAuthZ", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"}, "Action": ["kms:DescribeKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }

これらのステートメントは、次のアクセス許可を付与します。

CreateGrant

DescribeKey、、GetPublicKeyおよび Signオペレーションの許可の作成を許可します。条件により、許可の作成は AWS サポート 、認可サービスを通じて行われ、アカウントの許可リソースをサポートする範囲のリクエストに制限されます。 AWS サポート 認可は、サポート許可の作成CreateGrantの一環として、転送アクセスセッションを使用して を呼び出します。

DescribeKey

転送アクセスセッションを使用してサポート許可を作成するときに、キーが必要な仕様と使用タイプを満たしていることを確認することができます。

注記

を AWS アカウント ID 111122223333に、 をサポート許可を作成する AWS リージョンus-east-1に置き換えます。

AWS サポート 認可アクセスの取り消し

キーの署名権限を取り消すには、権限を取り消すことをお勧めします。これにより、キーの他の使用に影響を与えずに、追加の署名オペレーションを防ぐことができます。

AWS サポート 認可の許可を一覧表示して取り消すには:

  1. キーの権限を一覧表示して、権限 ID を見つけます。

    aws kms list-grants \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

    サポート許可を参照する名前またはGrantConstraintsソース ARN で許可を特定します。

  2. 権限を取り消します。

    aws kms revoke-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grant-id grant-id-from-list-grants

許可を取り消すと、このキーを使用するサポート許可に対して新しい署名付き認可を発行できなくなります。 AWS KMS API は結果整合性モデルに従うため、変更が全体で利用可能になるまでに少し時間がかかる場合があります AWS KMS。

注記

許可を取り消しても、関連するサポート許可は削除されません。サポート許可は ACTIVE 状態のままですが、認可に署名することはできません。許可は、各サポート許可に固有です。同じ AWS KMS キーを使用して新しいサポート許可を作成しても、元のサポート許可にキーを使用する権限は復元 AWS サポート されません。

キーの無効化または削除

AWS KMS キーの削除を無効化またはスケジュールして、認可が署名付き認可を発行しないように AWS サポート することもできます。ただし、これは AWS サポート 認可だけでなく、キーのすべての使用に影響します。

重要

AWS KMS と の両方の AWS サポート 認可は結果整合性があります。キーの削除を無効化またはスケジュールした後、変更が完全に反映されるまでに最大数分かかることがあります。この期間中、 キーを使用して署名付き認可が引き続き発行される場合があります。付与の取り消しも結果整合性があります。

キーを無効にすると、 AWS KMS コンソールで、または を呼び出して、キーを再度有効にできますEnableKey。キーを削除した場合、復元することはできません。

キー使用状況のモニタリング

AWS KMS キーを使用して認可に署名すると、 AWS CloudTrail はキーのイベント履歴に署名オペレーションを記録します。これらのイベントを使用して、ユーザーに代わって認可が署名されるタイミングと頻度を監査できます。