AWS CloudHSM キーストアへのアクセスを制御する - AWS Key Management Service

AWS CloudHSM キーストアへのアクセスを制御する

AWS CloudHSM カスタムキーストアと AWS CloudHSM クラスターへのアクセスを制御するときは、IAM ポリシーを使用します。キーポリシー、IAM ポリシー、グラントを使用すれば、AWS CloudHSM キーストアの AWS KMS keys へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。

AWS CloudHSM キーストアをサポートするため、AWS KMS には AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可が必要になります。また、AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するための、アクセス許可も必要です。これらのアクセス許可を取得するために、AWS KMS は AWS アカウント で AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールを作成します。詳細については、「AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する」を参照してください。

AWS CloudHSM キーストアを設計するときは、そのキーストアを使用および管理するプリンシパルに必要なアクセス許可のみが付与されていることを確認してください。次のリストは、AWS CloudHSM キーストアの管理者とユーザーに必要な最小限のアクセス許可を示しています。

  • AWS CloudHSM キーストアを作成および管理するプリンシパルは、AWS CloudHSM キーストア API オペレーションを使用するために次のアクセス許可を必要とします。

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターを作成し管理するプリンシパルには、AWS CloudHSM クラスターを作成し初期化するアクセス許可が必要です。これには、仮想プライベートクラウド (VPC) の作成または使用、サブネットの作成、Amazon EC2 インスタンスの作成権限が含まれます。また、HSM の作成と削除、およびバックアップの管理が必要な場合もあります。必要なアクセス許可のリストについては、「AWS CloudHSM ユーザーガイド」の「Identity and access management for AWS CloudHSM」を参照してください。

  • AWS CloudHSM キーストアで AWS KMS keys を作成し管理するプリンシパルには、AWS KMS で KMS キーを作成し管理するプリンシパルと同じアクセス許可が必要です。AWS CloudHSM キーストアの KMS キーのデフォルトキーポリシーは、AWS KMS の KMS キーのデフォルトキーポリシーと同じです。タグとエイリアスを使用して KMS キーへのアクセス許可を管理する属性ベースのアクセスコントロール (ABAC) は、AWS CloudHSM キーストアの KMS キーでも有効です。

  • AWS CloudHSM キーストアで暗号化オペレーションに KMS キーを使用するプリンシパルには、KMS キーで暗号化オペレーション (kms:Decrypt など) を実行するためのアクセス許可が必要です。  これらのアクセス許可は、キーポリシー、IAM ポリシーで付与できます。ただし、AWS CloudHSM キーストアで KMS キーを使用するための追加のアクセス許可は必要ありません。