翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # キーポリシーの AWS サービスのアクセス許可 多くの AWS サービスは AWS KMS keys 、 を使用して管理するリソースを保護します。あるサービスで [AWS 所有のキー](concepts.md#aws-owned-key) または [AWS マネージドキー](concepts.md#aws-managed-key) が使用される場合、そのサービスではこれらの KMS キーのキーポリシーが確立されて管理されます。 ただし、お客様が AWS のサービスで[カスタマーマネージドキー](concepts.md#customer-mgn-key)を使用する場合は、ご自身でキーポリシーを設定して管理します。ユーザーに代わってリソースを保護するのに必要な最小限のアクセス許可が、そのキーポリシーによってサービスに付与される必要があります。最小特権の原則 (サービスで必要なアクセス許可のみを付与) に従うことをお勧めします。どのアクセス許可がそのサービスで必要かを把握し、[AWS グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)および [AWS KMS 条件キー](policy-conditions.md)を使用してアクセス許可を絞り込むことで、これを効果的に行うことができます。 カスタマーマネージドキーに対してサービスで必要になるアクセス許可を調べるには、そのサービスの暗号化に関するドキュメントを参照してください。いくつかのサービスドキュメントへのリンクを次のリストに示します。 + **AWS CloudTrail** アクセス許可 - [ CloudTrail の AWS KMS キーポリシーを設定する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-decrypt) + **Amazon Elastic Block Store** アクセス許可 - 「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#ebs-encryption-permissions)」および「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#ebs-encryption-permissions)」 + **AWS Lambda** アクセス許可 - [Lambda 向けの保管中のデータ暗号化](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) + **Amazon Q** アクセス許可 - [Amazon Q 向けのデータ暗号化](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/data-encryption.html) + **Amazon Relational Database Service** アクセス許可 - [AWS KMS キー管理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.Keys.html) + **AWS Secrets Manager** アクセス許可 - [KMS キーの使用の許可](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) + **Amazon Simple Queue Service** アクセス許可 - [Amazon SQS キー管理](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)