翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアへのアクセスの制御

標準の KMS キーで使用するすべての AWS KMS アクセスコントロール機能 - キーポリシー、IAM ポリシー、許可 - は、外部キーストアの KMS キーでも同じように機能します。IAM ポリシーを使うことで、外部キーストアを作成し管理するための API オペレーションへのアクセスを、制御できます。IAM ポリシーとキーポリシーを使用して、外部キーストア AWS KMS keys の へのアクセスを制御します。 AWS 組織のサービスコントロールポリシーと VPC エンドポイントポリシーを使用して、外部キーストアの KMS キーへのアクセスを制御することもできます。

ユーザーとロールには、それらが実行する可能性の高いタスクに必要なアクセス許可のみ、付与することが推奨されます。

外部キーストアマネージャーの承認

外部キーストアを作成し管理するプリンシパルには、カスタムキーストアオペレーションへのアクセス許可が必要になります。次のリストは、 外部キーストアマネージャーに必要な最小限のアクセス許可です。カスタムキーストアは AWS リソースではないため、他の のプリンシパルの外部キーストアにアクセス許可を付与することはできません AWS アカウント。

Amazon VPC エンドポイントサービス接続を使用して外部キーストアを作成し、VPC エンドポイントサービスが別の によって所有されている場合は AWS アカウント、次のアクセス許可も必要です。

外部キーストアを作成するプリンシパルは、外部キーストアコンポーネントを作成し構成するためのアクセス許可が必要になります。プリンシパルは、外部キーストアを自分のアカウントのみで作成できます。VPC エンドポイントサービスに接続できる外部キーストアを作成するには、プリンシパルは、次のコンポーネントを作成するためのアクセス許可を持っている必要があります。

詳細については、「Amazon VPC の Identity and Access Management」、「VPC エンドポイントおよび VPC エンドポイントサービスの Identity and Access Management」、「Elastic Load Balancing API のアクセス許可」を参照してください。

外部キーストアにおける KMS キーのユーザー認証

外部キーストア AWS KMS keys で を作成および管理するプリンシパルには、 で KMS キーを作成および管理するプリンシパルと同じアクセス許可が必要です AWS KMS。外部キーストアの KMS キーの、デフォルトのキーポリシーは、 AWS KMSの KMS キーの、デフォルトのキーポリシーと同一です。タグとエイリアスを使用して KMS キーへのアクセスを制御する属性ベースのアクセス制御 (ABAC) は、カスタムキーストアの KMS キーでも同様に有効です。

カスタムキーストアで暗号化オペレーションに KMS キーを使用するプリンシパルには、KMS キーで暗号化オペレーション (KMS: Decryptなど) を実行するアクセス許可が必要です。　 これらのアクセス権限は、IAM またはキーポリシーで指定できます。ただし、カスタムキーストアで KMS キーを使用するための追加のアクセス許可は必要ありません。

外部キーストアの KMS キーにのみ適用されるアクセス許可を設定するには、値が EXTERNAL_KEY_STORE の kms:KeyOrigin ポリシー条件を使用します。この条件を使用すれば、kms: CreateKey アクセス許可、または KMS キーリソースに固有のアクセス許可を制限できます。例えば、次の IAM ポリシーを使えば、アタッチされた ID は、KMS が外部キーストアにある限り、アカウントのすべての KMS キーで、指定されたオペレーションを呼び出すことができます。アクセス許可は、外部キーストアの KMS キーと の KMS キーに制限できますが AWS アカウント、アカウント内の特定の外部キーストアには制限できないことに注意してください。

{
  "Sid": "AllowKeysInExternalKeyStores",
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL_KEY_STORE"
    }
  }
}

が外部キーストアプロキシと通信 AWS KMS することを許可する

AWS KMS は、指定した外部キーストアプロキシを介してのみ外部キーマネージャーと通信します。 AWS KMS は、指定した外部キーストアプロキシ認証情報を使用して署名バージョン 4 (SigV4) プロセスを使用してリクエストに署名することで、プロキシに対して認証します。 外部キーストアのプロキシ認証の認証情報外部キーストアプロキシにパブリックエンドポイント接続を使用している場合、 AWS KMS に追加のアクセス許可は必要ありません。

ただし、VPC エンドポイントサービス接続を使用している場合は、Amazon VPC エンドポイントサービスへのインターフェイスエンドポイントを作成する AWS KMS アクセス許可を付与する必要があります。このアクセス許可は、外部キーストアプロキシが VPC にあるか、外部キーストアプロキシが他の場所にあるかにかかわらず必要ですが、VPC エンドポイントサービスを使用して通信します AWS KMS。

AWS KMS がインターフェイスエンドポイントを作成できるようにするには、Amazon VPC コンソールまたは ModifyVpcEndpointServicePermissions オペレーションを使用します。次のプリンシパルにアクセス許可を付与します:cks.kms.<region>.amazonaws.com。

Amazon VPC エンドポイントサービスが外部キーストア (XKS) を所有している AWS アカウント 以外の によって AWS アカウント 所有されている場合は、VPC エンドポイントサービスへの XKS アクセスも許可する必要があります。これを行うには、Amazon VPC エンドポイントサービスのプリンシパルとして XKS AWS アカウント ID を許可リストに登録します。

Same AWS アカウント

VPC エンドポイントサービスが外部キーストア AWS アカウント と同じ によって所有されている場合、VPC エンドポイントサービスのプリンシパルを許可するリスト AWS KMS に を追加する必要があります。

次の例では、 modify-vpc-endpoint-service-permissions AWS CLI コマンドを使用して、 AWS KMS が米国西部 (オレゴン) (us-west-2) リージョンで指定された VPC エンドポイントサービスに接続できるようにします。このコマンドを使用する前に、Amazon VPC サービス ID と を設定の AWS リージョン 有効な値に置き換えます。

modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'

このアクセス許可を削除するには、Amazon VPC コンソールか、ModifyVpcEndpointServicePermissions を RemoveAllowedPrincipals パラメータと共に使用します。

Cross AWS アカウント

VPC エンドポイントサービスが別の によって所有されている場合は AWS アカウント、 AWS KMS と外部キーストアの両方を VPC エンドポイントサービスのプリンシパルを許可するリストに追加する必要があります。

次の例では、 modify-vpc-endpoint-service-permissions AWS CLI コマンドを使用して、 AWS KMS と外部キーストア (XKS) の両方が、米国西部 (オレゴン) (us-west-2) リージョンで指定された VPC エンドポイントサービスに接続できるようにします。このコマンドを使用する場合は、設定上の有効な値で Amazon VPC サービス ID、 AWS リージョン、IAM プリンシパル ARN を置き換えてください。IAM プリンシパルは、XKS 所有者のプリンシパルに置き換える必要があります AWS アカウント。

この例では、 arn:aws:iam::123456789012:role/cks_role は XKS 所有者アカウントの IAM プリンシパルで、XKS の作成と更新に加えて、XKS を VPC エンドポイントサービスに接続するために使用されます。XKS 所有者アカウントのすべてのプリンシパルに VPC エンドポイントサービスへのアクセスを許可する場合は、arn:aws:iam::123456789012:root を指定できます。

modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'

このアクセス許可を削除するには、Amazon VPC コンソールか、ModifyVpcEndpointServicePermissions を RemoveAllowedPrincipals パラメータと共に使用します。

外部キーストアプロキシ認可 (オプション)

外部キーストアプロキシの中には、外部キーを使用するための認可要件を実装しているものがあります。外部キーストアプロキシは、特定のユーザーが特定の条件下でのみ特定のオペレーションをリクエストすることを許可する、認可スキームの設計と実装が許可されていますが、必須ではありません。例えばプロキシは、ユーザー A に、特定の外部キーを使用した暗号化は許可するが、それを使用した復号は許可しないように設計されていることがあります。

プロキシ認可は、すべての外部キーストアプロキシに必要な SigV4-basedプロキシ認証とは無関係です。 AWS KMS また、外部キーストアやその KMS キーに影響するオペレーションへのアクセスを認可する、キーポリシー、IAM ポリシー、グラントとも無関係です。

外部キーストアプロキシによる認可を有効にするには、呼び出し元、KMS キー、 AWS KMS オペレーション、 AWS のサービス (存在する場合) など、各プロキシ API リクエストにメタデータ AWS KMS を含めます。外部キープロキシ API のバージョン 1 (v1) のリクエストメタデータは、次のとおりです。

"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}

たとえば、特定のプリンシパル (awsPrincipalArn) からのリクエストを許可するようにプロキシを設定できますが、リクエストがプリンシパルに代わって特定の AWS のサービス () によって行われた場合のみですkmsViaService。

プロキシ認可に失敗すると、関連する AWS KMS オペレーションは失敗し、エラーの内容を説明するメッセージが表示されます。詳細については、「プロキシの承認に関する問題 」を参照してください。

mTLS 認証 (オプション)

外部キーストアプロキシがリクエストを認証できるようにするには AWS KMS、 AWS KMS は、外部キーストアの署名 V4 (SigV4) プロキシ認証情報を使用して、外部キーストアプロキシへのすべてのリクエストに署名します。

外部キーストアプロキシが AWS KMS リクエストにのみ応答することをさらに保証するために、一部の外部キープロキシは相互 Transport Layer Security (mTLS) をサポートしています。この場合、トランザクションの当事者の両方が証明書を使用して相互に認証します。mTLS は、クライアント側の認証を追加します。ここで、外部キーストアプロキシサーバーは AWS KMS クライアントを認証し、標準 TLS が提供するサーバー側の認証を提供します。万が一、プロキシ認証の認証情報が漏洩した場合、mTLS は、第三者が外部キーストアプロキシに API リクエストを実行することを防ぎます。

mTLS を実装するには、以下のプロパティを持つクライアント側の TLS 証明書のみを受け入れるように、外部キーストアプロキシを設定します。