翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 最小特権のアクセス許可の実装 キーストアと AWS KMS 階層キーリングを使用する場合は、次のロールを定義して最小特権の原則に従うことをお勧めします。 **キーストア管理者** キーストア管理者は、キーストアと、キーストアが保持および保護するブランチキーを作成および管理します。キーストア管理者は、キーストアとして機能する Amazon DynamoDB テーブルへの書き込み権限を持つ唯一のユーザーである必要があります。これらは、 [`CreateKey`](create-branch-keys.md)や などの特権的な管理者オペレーションにアクセスできる唯一のユーザーである必要があります[`VersionKey`](rotate-branch-key.md)。これらのオペレーションは、[キーストアアクションを静的に設定する場合にのみ実行できます](keystore-actions.md#static-keystore)。 `CreateKey` は、キーストア許可リストに新しい KMS キー ARN を追加できる特権オペレーションです。この KMS キーは、新しいアクティブなブランチキーを作成できます。KMS キーがブランチキーストアに追加されると、削除できないため、このオペレーションへのアクセスを制限することをお勧めします。 **キーストアユーザー** ほとんどの場合、キーストアユーザーは、データを暗号化、復号、署名、検証する際に、階層キーリングを介してのみキーストアとやり取りします。そのため、キーストアとして機能する Amazon DynamoDB テーブルへの読み取りアクセス許可のみが必要です。キーストアユーザーは、、、 などの暗号化オペレーションを可能にする使用オペレーションにのみアクセスする必要があります`GetActiveBranchKey``GetBranchKeyVersion``GetBeaconKey`。使用するブランチキーを作成または管理するためのアクセス許可は必要ありません。 キーストアアクションが[静的に設定されている場合](keystore-actions.md#static-keystore)、または[検出](keystore-actions.md#discovery-keystore)用に設定されている場合、使用操作を実行できます。キーストアアクションが検出用に設定されている場合、管理者オペレーション (`CreateKey` および `VersionKey`) を実行することはできません。 ブランチキーストア管理者がブランチキーストアに複数の KMS キーを許可リストに登録した場合は、階層キーリングが複数の KMS キーを使用できるように、キーストアユーザーがキーストアアクションを検出用に設定することをお勧めします。