グラントへのアクセスを制御する
キーポリシー、IAM ポリシー、グラントで、グラントを作成および管理するオペレーションへのアクセスを制御できます。グラントから CreateGrant 許可を取得したプリンシパルは、より限定的な許可の付与を行います。
| API オペレーション | キーポリシーまたは IAM ポリシー | グラント |
|---|---|---|
| CreateGrant | ✓ | ✓ |
| ListGrants | ✓ | - |
| ListRetirableGrants | ✓ | - |
| 許可を使用停止にする | (制限あり。「グラントの使用停止と取り消し」を参照してください) | ✓ |
| RevokeGrant | ✓ | - |
キーポリシーまたは IAM ポリシーを使用して、グラントを作成および管理するオペレーションへのアクセスを制御する際は、次の 1 つ以上のポリシー条件を使用して、アクセス許可を制限できます。AWS KMS は、グラントに関連する次のすべての条件キーをサポートします。詳細と例については、「AWS KMS 条件キー」を参照してください。
- kms:GrantConstraintType
-
グラントに指定されたグラントの制約が含まれている場合にのみ、プリンシパルにグラントの作成を許可します。
- kms:GrantIsForAWSResource
-
AWS KMS と統合された AWS のサービス
がプリンシパルの代わりにリクエストを送信する場合にのみ、 CreateGrant、ListGrants、RevokeGrantの呼び出しをプリンシパルに許可します。 - kms:GrantOperations
-
プリンシパルにグラントの作成を許可しますが、グラントを指定されたオペレーションに制限します。
- kms:GranteePrincipal
-
指定された被付与者プリンシパルに対してのみ、グラントの作成を許可します。
- kms:RetiringPrincipal
-
グラントが特定の使用停止プリンシパルを指定する場合にのみ、プリンシパルにグラントの作成を許可します。
