翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS CloudHSM キーストアへのアクセスを制御する IAM ポリシーを使用して、 AWS CloudHSM キーストアと AWS CloudHSM クラスターへのアクセスを制御します。キーポリシー、IAM ポリシー、権限を使用して、 AWS CloudHSM キーストア AWS KMS keys 内の へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。 AWS CloudHSM キーストアをサポートするために、 にはクラスターに関する情報 AWS CloudHSM を取得するためのアクセス許可 AWS KMS が必要です。また、キーストアを AWS CloudHSM クラスターに接続する AWS CloudHSM ネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。詳細については、「[AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する](authorize-kms.md)」を参照してください。 AWS CloudHSM キーストアを設計するときは、キーストアを使用および管理しているプリンシパルに必要なアクセス許可のみがあることを確認してください。次のリストは、 AWS CloudHSM キーストアマネージャーとユーザーに最低限必要なアクセス許可を示しています。 + AWS CloudHSM キーストアを作成および管理するプリンシパルには、 AWS CloudHSM キーストア API オペレーションを使用するための次のアクセス許可が必要です。 + `cloudhsm:DescribeClusters` + `kms:CreateCustomKeyStore` + `kms:ConnectCustomKeyStore` + `kms:DeleteCustomKeyStore` + `kms:DescribeCustomKeyStores` + `kms:DisconnectCustomKeyStore` + `kms:UpdateCustomKeyStore` + `iam:CreateServiceLinkedRole` + キーストアに関連付けられている AWS CloudHSM AWS CloudHSM クラスターを作成および管理するプリンシパルには、 AWS CloudHSM クラスターを作成および初期化するためのアクセス許可が必要です。これには、仮想プライベートクラウド (VPC) の作成または使用、サブネットの作成、Amazon EC2 インスタンスの作成権限が含まれます。また、HSM の作成と削除、およびバックアップの管理が必要な場合もあります。必要なアクセス許可のリストについては、「AWS CloudHSM ユーザーガイド」の「[Identity and access management for AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html)」を参照してください。 + AWS CloudHSM キーストア AWS KMS keys で を作成および管理するプリンシパルには、 で KMS キーを作成および管理するプリンシパルと同じ[アクセス許可](create-keys.md#create-key-permissions)が必要です AWS KMS。[キーストアの KMS キーのデフォルトキーポリシー](key-policy-default.md)は、 の KMS キーのデフォルトキーポリシーと同じです AWS KMS。 AWS CloudHSM タグとエイリアスを使用して KMS キーへのアクセスを制御する[属性ベースのアクセスコントロール](abac.md) (ABAC) は、 AWS CloudHSM キーストアの KMS キーでも有効です。 + [暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)に AWS CloudHSM キーストアの KMS キーを使用するプリンシパルには、[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) などの KMS キーを使用して暗号化オペレーションを実行するアクセス許可が必要です。これらのアクセス許可は、キーポリシー、IAM ポリシーで付与できます。ただし、 AWS CloudHSM キーストアで KMS キーを使用するための追加のアクセス許可は必要ありません。