AWS KMS アクセスコントロール用語集 - AWS Key Management Service
認証Authorizationアイデンティティを使用した認証ポリシーを使用したアクセスの管理AWS KMS リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS アクセスコントロール用語集

次のトピックでは、 AWS KMS アクセスコントロールの重要な用語と概念について説明します。

認証

「認証」は、アイデンティティを検証するプロセスです。にリクエストを送信するには AWS KMS、認証情報 AWS AWS を使用してサインインする必要があります。

Authorization

認可は、 AWS KMS リソースを作成、管理、または使用するためのリクエストを送信するアクセス許可を提供します。例えば、暗号化オペレーションで KMS キーを使用するには、権限が必要です。

AWS KMS リソースへのアクセスを制御するには、キーポリシーIAM ポリシー、および許可を使用します。すべての KMS キーにはキーポリシーが必要です。キーポリシーで許可されている場合は、IAM ポリシーとグラントを使用して、プリンシパルに KMS キーへのアクセス権を付与することもできます。権限を絞り込むために、条件キーを使用して、リクエストまたはリソースが指定した条件を満たす場合に限り、アクセスを許可または拒否できます。また、他の AWS アカウント で、信頼するプリンシパルへのアクセスを許可できます。

アイデンティティを使用した認証

認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「AWS サインイン ユーザーガイド」の「AWS アカウントへのサインイン方法」を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「IAM ユーザーガイド」の「API リクエストに対するAWS 署名バージョン 4」を参照してください。

AWS アカウント ルートユーザー

を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント root ユーザーと呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクにはルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。

フェデレーテッドアイデンティティ

ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。

フェデレーティッド ID は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーティッド ID は、一時的な認証情報を提供するロールを引き受けます。

アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「AWS IAM アイデンティティセンター ユーザーガイド」の「IAM アイデンティティセンターとは」を参照してください。

IAM ユーザーとグループ

IAM ユーザーは、1 人のユーザーまたは 1 つのアプリケーションに対して特定のアクセス許可を持つ ID です。長期的な認証情報を持つ IAM ユーザーの代わりに、一時的な認証情報を使用することをお勧めします。詳細については、IAM ユーザーガイド「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS」を参照してください。

IAM グループは、IAM ユーザーの集合を指定し、大量のユーザーのアクセス許可の管理を容易にします。詳細については、「IAM ユーザーガイド」の「IAM ユーザーのユースケース」を参照してください。

IAM ロール

IAM ロールは、一時的な認証情報を提供する特定のアクセス許可を持つ ID です。ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロールを引き受けることができます。 AWS CLI AWS 詳細については、IAM ユーザーガイドロールを引き受けることができない を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、IAM ユーザーガイドIAM でのクロスアカウントリソースアクセス を参照してください。

ポリシーを使用したアクセスの管理

でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「IAM ユーザーガイド」の「JSON ポリシーの概要」を参照してください。

ポリシーを使用して、管理者は、どのプリンシパルがどのリソースに対してどのような条件アクションを実行できるかを定義することで、誰が何にアクセスできるかを指定します。

デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。

アイデンティティベースのポリシー

アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティが実行できるアクション、リソース、および条件を制御します。アイデンティティベースポリシーの作成方法については、IAM ユーザーガイドカスタマー管理ポリシーでカスタム IAM アクセス許可を定義する を参照してください。

アイデンティティベースのポリシーは、インラインポリシー (単一のアイデンティティに直接埋め込まれるポリシー) または管理ポリシー (複数のアイデンティティにアタッチされるスタンドアロンポリシー) のどちらかになります。マネージドポリシーまたはインラインポリシーのいずれかを選択する方法については、「IAM ユーザーガイド」の「管理ポリシーとインラインポリシーのいずれかを選択する」を参照してください。

リソースベースのポリシー

AWS KMS Ankey ポリシーは、KMS キーへのアクセスを制御するリソースベースのポリシーです。すべての KMS キーにはキーポリシーが必要です。他の認可メカニズムを使用して、KMS キーへのアクセスを許可できますが、キーポリシーで許可されている場合に限ります (キーポリシーで明示的に許可されていなくても、IAM ポリシーを使用して KMS キーへのアクセスを「拒否」できます)。

リソースベースのポリシーとは、JSON ポリシードキュメントです。KMS キーなどのリソースにアタッチして、特定のリソースへのアクセスを制御します。リソースベースのポリシーは、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件を定義します。リソースベースのポリシーではリソースを指定しませんが、アカウント、ユーザー、ロール、フェデレーティッドユーザー、 などのプリンシパルを指定する必要があります AWS のサービス。リソースベースのポリシーは、リソースを管理するそのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、 AWS 管理ポリシーなど、IAM の AWSKeyManagementServicePowerUser 管理ポリシーを使用できません。

その他のポリシータイプ

AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。

  • アクセス許可の境界 - アイデンティティベースのポリシーで IAM エンティティに付与できる最大限のアクセス許可を設定します。詳細については、IAM ユーザーガイドIAM エンティティのアクセス許可の境界 を参照してください。

  • サービスコントロールポリシー (SCP) - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、AWS Organizations ユーザーガイドサービスコントロールポリシー を参照してください。

  • リソースコントロールポリシー (RCP) - アカウントでリソースに対して利用できる最大限のアクセス許可を設定します。詳細については、AWS Organizations ユーザーガイドリソースコントロールポリシー (RCP) を参照してください。

  • セッションポリシー – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、IAM ユーザーガイドセッションポリシー を参照してください。

複数のポリシータイプ

1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、「IAM ユーザーガイド」の「ポリシー評価ロジック」を参照してください。

AWS KMS リソース

では AWS KMS、プライマリリソースは です AWS KMS key。 は、KMS キーのわかりやすい名前を提供する独立したリソースであるエイリアス AWS KMS もサポートしています。一部の AWS KMS オペレーションでは、エイリアスを使用して KMS キーを識別できます。

KMS キーまたはエイリアスの各インスタンスには、標準形式の一意の Amazon リソースネーム (ARN) があります。 AWS KMS リソースでは、 AWS サービス名は ですkms

  • AWS KMS key

    ARN 形式:

    arn:AWS partition name:AWS service name:AWS リージョン:AWS アカウント ID:key/key ID

    ARN の例:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  • エイリアス

    ARN 形式:

    arn:AWS partition name:AWS service name:AWS リージョン:AWS アカウント ID:alias/alias name

    ARN の例:

    arn:aws:kms:us-west-2:111122223333:alias/example-alias

AWS KMS には、 AWS KMS リソースを操作するための一連の API オペレーションが用意されています。 AWS マネジメントコンソール および AWS KMS API オペレーションで KMS キーを識別する方法の詳細については、「」を参照してくださいキー識別子 (KeyId)。 AWS KMS オペレーションのリストについては、 AWS Key Management Service API リファレンスを参照してください。