AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する - AWS Key Management Service
AWS KMS サービスにリンクされたロールについてサービスにリンクされたロールの作成サービスにリンクされたロールの説明を編集するサービスにリンクされたロールを削除する

AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する

AWS CloudHSM キーストアをサポートするため、AWS KMS には AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可が必要になります。また、AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するための、アクセス許可も必要です。これらのアクセス許可を取得するために、AWS KMS は AWS アカウント で AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールを作成します。AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可する iam:CreateServiceLinkedRole アクセス許可が必要です。

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy マネージドポリシーの更新の詳細については、「AWS マネージドポリシーの AWS KMS 更新」を参照してください。

AWS KMS サービスにリンクされたロールについて

サービスリンクロールは、ユーザーの代わりに他の AWS サービスを呼び出す 1 つの AWS サービスアクセス許可を付与する IAM ロールです。これは、複数の統合された AWS サービスの機能を、複雑な IAM ポリシーを作成したり維持したりせずに簡単に使用できるように設計されました。詳細については、「AWS KMS のサービスにリンクされたロールの使用」を参照してください。

AWS CloudHSM キーストアの場合、AWS KMS は、AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy ポリシーを使って AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを作成します。このポリシーはロールに以下のアクセス許可を与えます。

  • cloudhsm:Describe* – カスタムキーストアにアタッチされている AWS CloudHSM クラスター内の変更を検出します。

  • ec2:CreateSecurityGroupAWS CloudHSM キーストアを接続して、AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックを有効にするセキュリティグループを作成するときに使用されます。

  • ec2:AuthorizeSecurityGroupIngressAWS CloudHSM キーストアを接続して、AWS CloudHSM クラスターが含まれる VPC への AWS KMS からのネットワークアクセスを許可するときに使用されます。

  • ec2:CreateNetworkInterfaceAWS CloudHSM キーストアを接続して、AWS KMS と AWS CloudHSM クラスター間のコミュニケーションに使用されるネットワークインターフェイスを作成するときに使用されます。

  • ec2:RevokeSecurityGroupEgressAWS CloudHSM キーストアを接続して、AWS KMS が作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。

  • ec2:DeleteSecurityGroupAWS CloudHSM キーストアを切断して、AWS CloudHSM キーストアの接続時に作成されたセキュリティグループを削除するときに使用されます。

  • ec2:DescribeSecurityGroups – AWS CloudHSM クラスターが含まれる VPC で AWS KMS が作成したセキュリティグループ内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

  • ec2:DescribeVpcs – AWS CloudHSM クラスターが含まれる VPC 内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

  • ec2:DescribeNetworkAcls – AWS CloudHSM クラスターが含まれる VPC 用のネットワーク ACL 内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

  • ec2:DescribeNetworkInterfaces – AWS CloudHSM クラスターが含まれる VPC で AWS KMS が作成したネットワークインターフェイス内の変更を監視して、障害が発生した場合に AWS KMS が明瞭なエラーメッセージを提供できるようにするために使用されます。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}

[AWSServiceRoleForKeyManagementServiceCustomKeyStores] サービスにリンクされたロールは cks.kms.amazonaws.com のみを信頼するため、AWS KMS のみがこのサービスにリンクされたロールを引き受けることができます。このロールは、AWS KMS が AWS CloudHSM クラスターを表示し、AWS CloudHSM キーストアをそれに関連付けられた AWS CloudHSM クラスターに接続するために必要なオペレーションに限定されています。AWS KMS に対して追加のアクセス許可は付与されません。たとえば、AWS KMS に、AWS CloudHSM クラスター、HSM、またはバックアップを作成、管理、または削除するためのアクセス許可はありません。

リージョン

AWS CloudHSM キーストアの機能と同様に、AWSServiceRoleForKeyManagementServiceCustomKeyStores ロールは、AWS KMS と AWS CloudHSM を利用できるすべての AWS リージョン でサポートされています。各サービスがサポートする AWS リージョン のリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Key Management Service Endpoints and Quotas」および「AWS CloudHSM endpoints and quotas」を参照してください。

AWS のサービスでサービスリンクロールを使用する方法の詳細については、IAM ユーザーガイドの「サービスリンクロールの使用」を参照してください。

サービスにリンクされたロールの作成

AWS CloudHSM キーストアを作成する時点でロールがまだ存在していない場合、AWS KMS は AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスリンクロールを AWS アカウント に自動的に作成します。このサービスにリンクされたロールを直接作成または再作成することはできません。

サービスにリンクされたロールの説明を編集する

AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、「IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。

サービスにリンクされたロールを削除する

AWS CloudHSM キーストアをすべて削除しても、AWS KMS では、AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールは AWS アカウント から削除されません。現時点では AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを削除する手順はありませんが、AWS KMS は、アクティブな AWS CloudHSM キーストアがない限り、このロールを割り当てたりそのアクセス許可を使用したりすることはありません。