AWS KMS アクセス権限

この表は、AWS KMS 許可を理解して AWS KMS リソースへのアクセスを管理できるようにすることを目的としたものです。列見出しの定義は、表の下に表示されます。

AWS KMS 許可については、サービス認可リファレンスにある AWS Key Management Service のアクション、リソース、条件キートピックでも説明しています。ただし、このトピックには、各許可の絞り込みに使用できる条件キーがすべて一覧表示されているわけではありません。

対称暗号化 KMS キー、非対称 KMS キー、および HMAC KMS キーの有効なAWS KMSオペレーションの詳細については、「キータイプリファレンス」を参照してください。

注記

テーブル内のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

アクションおよびアクセス許可	ポリシータイプ	クロスアカウントの使用	リソース (IAM ポリシー用)	AWS KMS 条件キー
CancelKeyDeletion `kms:CancelKeyDeletion`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAM ポリシー	なし	`*`	kms:CallerAccount
CreateAlias `kms:CreateAlias` このオペレーションを使用するには、発信者には 2 つのリソースでの `kms:CreateAlias` 許可が必要です。エイリアス (IAM ポリシーにおける) KMS キー (キーポリシー内) 詳細については、「エイリアスへのアクセスの制御」を参照してください。	IAM ポリシー (エイリアス用)	なし	エイリアス	なし (エイリアスへのアクセスを制御する場合)
	キーポリシー (KMS キー用)	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAM ポリシー	なし	`*`	kms:CallerAccount
CreateGrant `kms:CreateGrant`	キーポリシー	あり	KMS キー	暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys 権限条件: kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
CreateKey `kms:CreateKey`	IAM ポリシー	なし	`*`	kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ViaService aws:RequestTag/tag-key (AWS グローバル条件キー) aws:ResourceTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー)
Decrypt `kms:Decrypt`	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 kms:EncryptionAlgorithm kms:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
DeleteAlias `kms:DeleteAlias` このオペレーションを使用するには、発信者には 2 つのリソースでの `kms:DeleteAlias` 許可が必要です。エイリアス (IAM ポリシーにおける) KMS キー (キーポリシー内) 詳細については、「エイリアスへのアクセスの制御」を参照してください。	IAM ポリシー (エイリアス用)	なし	エイリアス	なし (エイリアスへのアクセスを制御する場合)
	キーポリシー (KMS キー用)	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAM ポリシー	なし	`*`	kms:CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
DeriveSharedSecret `kms:DeriveSharedSecret`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService 暗号化オペレーションの条件: kms:KeyAgreementAlgorithm
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAM ポリシー	なし	`*`	kms:CallerAccount
DescribeKey `kms:DescribeKey`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:RequestAlias
DisableKey `kms:DisableKey`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
DisableKeyRotation `kms:DisableKeyRotation`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAM ポリシー	なし	`*`	kms:CallerAccount
EnableKey `kms:EnableKey`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
EnableKeyRotation `kms:EnableKeyRotation`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService 自動キーローテーション条件: kms:RotationPeriodInDays
暗号化 `kms:Encrypt`	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 kms:EncryptionAlgorithm kms:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GenerateDataKey `kms:GenerateDataKey`	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 kms:EncryptionAlgorithm kms:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	キーポリシー	あり	KMS キー対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。	データキーペアの条件: kms:DataKeyPairSpec 暗号化オペレーションの条件 kms:EncryptionAlgorithm kms:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	キーポリシー	あり	KMS キー対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。	データキーペアの条件: kms:DataKeyPairSpec 暗号化オペレーションの条件 kms:EncryptionAlgorithm kms:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 kms:EncryptionAlgorithm kms:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GenerateMac `kms:GenerateMac`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService 暗号化オペレーションの条件: kms:MacAlgorithm kms:RequestAlias
GenerateRandom `kms:GenerateRandom`	IAM ポリシー	該当なし	`*`	なし
GetKeyPolicy `kms:GetKeyPolicy`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GetParametersForImport `kms:GetParametersForImport`	キーポリシー	なし	KMS キー	kms:WrappingAlgorithm kms:WrappingKeySpec KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
GetPublicKey `kms:GetPublicKey`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:ExpirationModel kms:ValidTo
ListAliases `kms:ListAliases`	IAM ポリシー	なし	`*`	なし
ListGrants `kms:ListGrants`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:GrantIsForAWSResource
ListKeyPolicies `kms:ListKeyPolicies`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
ListKeyRotations `kms:ListKeyRotations`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
ListKeys `kms:ListKeys`	IAM ポリシー	なし	`*`	なし
ListResourceTags `kms:ListResourceTags`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAM ポリシー	指定されたプリンシパルがローカルアカウントにある必要があります。オペレーションはすべてのアカウントで権限を返します。	`*`	なし
PutKeyPolicy `kms:PutKeyPolicy`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` このオペレーションを使用するには、発信者に 2 つの KMS キーでのアクセス許可が必要です。 `kms:ReEncryptFrom`復号に使用される KMS キーの `kms:ReEncryptTo`暗号化に使用される KMS キーの	キーポリシー	あり	KMS キー	暗号化オペレーションの条件 kms:EncryptionAlgorithm kms:RequestAlias 暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` このオペレーションを使用するには、発信者に次のアクセス許可が必要です。 `kms:ReplicateKey`マルチリージョンプライマリキーの `kms:CreateKey`レプリカリージョンの IAM ポリシーの	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:ReplicaRegion
RetireGrant `kms:RetireGrant` 権限を使用停止にするアクセス許可は、主に権限によって決定されます。ポリシーだけでは、このオペレーションへのアクセスを許可することはできません。詳細については、「グラントの使用停止と取り消し」を参照してください。	IAM ポリシー (このアクセス許可はキーポリシーでは無効です)。	あり	KMS キー	暗号化コンテキスト条件: kms:EncryptionContext: context-key kms:EncryptionContextKeys 権限条件: kms:GrantConstraintType KMS キーオペレーションの条件: kms:CallerAccount kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
RevokeGrant `kms:RevokeGrant`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件: kms:GrantIsForAWSResource
RotateKeyOnDemand `kms:RotateKeyOnDemand`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
Sign `kms:Sign`	キーポリシー	あり	KMS キー	署名および検証の条件: kms:MessageType kms:RequestAlias kms:SigningAlgorithm KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
TagResource `kms:TagResource`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー)
UntagResource `kms:UntagResource`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService タグ付けの条件: aws:RequestTag/tag-key (AWS グローバル条件キー) aws:TagKeys (AWS グローバル条件キー)
UpdateAlias `kms:UpdateAlias` このオペレーションを使用するには、発信者には 3 つのリソースでの `kms:UpdateAlias` 許可が必要です。エイリアス現在関連付けられている KMS キー新しく関連付けられた KMS キー詳細については、「エイリアスへのアクセスの制御」を参照してください。	IAM ポリシー (エイリアス用)	なし	エイリアス	なし (エイリアスへのアクセスを制御する場合)
	キーポリシー (KMS キー用)	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAM ポリシー	なし	`*`	kms:CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` 発信者がこのオペレーションを使用するには、レプリカキーとなるマルチリージョンプライマリキーと、プライマリキーとなるマルチリージョンレプリカキーの両方に対する `kms:UpdatePrimaryRegion` のアクセス許可が必要です。	キーポリシー	なし	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService その他の条件 kms:PrimaryRegion
Verify `kms:Verify`	キーポリシー	あり	KMS キー	署名および検証の条件: kms:MessageType kms:RequestAlias kms:SigningAlgorithm KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService
VerifyMac `kms:VerifyMac`	キーポリシー	あり	KMS キー	KMS キーオペレーションの条件: kms:CallerAccount kms:KeySpec kms:KeyUsage kms:KeyOrigin kms:MultiRegion kms:MultiRegionKeyType kms:ResourceAliases aws:ResourceTag/tag-key (AWS グローバル条件キー) kms:ViaService 暗号化オペレーションの条件: kms:MacAlgorithm kms:RequestAlias

列の説明

このテーブルの列には、以下の情報が表示されます:

アクションとアクセス許可は、各 AWS KMS API オペレーションおよびオペレーションを許可するアクセス許可を一覧表示します。ポリシーステートメントの Action 要素でオペレーションを指定します。
ポリシータイプは、アクセス許可がキーポリシーまたは IAM ポリシーで使用できるかどうかを表示します。

キーポリシーは、キーポリシーでアクセス許可を指定できることを意味します。キーポリシーに IAM ポリシーを有効にするポリシーステートメントが含まれている場合には、IAM ポリシーで許可を指定できます。

IAM ポリシーは、IAM ポリシーでのみアクセス許可を指定できることを意味します。
クロスアカウント使用は、別の AWS アカウントで、認可されたユーザーが実行できるオペレーションを表示します。

はいの値は、別の AWS アカウントで、プリンシパルがリソースに対してオペレーションを実行できることを意味します。

いいえの値は、自分の AWS アカウントで、プリンシパルがリソースに対してのみオペレーションを実行できることを意味します。

別のアカウントのプリンシパルにクロスアカウントリソースで使用できないアクセス許可を付与した場合、そのアクセス許可は無効になります。例えば、別のアカウントでプリンシパルに、ユーザーのアカウントのKMS キーへの kms:TagResource 許可を付与した場合、KMS キーをユーザーのアカウントへタグ付けする試行は失敗します。
リソースには、アクセス許可が適用される AWS KMS リソースが一覧表示されます。AWS KMS は、KMS キーとエイリアスの 2 つのリソースタイプをサポートします。キーポリシーでは、Resource 要素の値は常に * であり、キーポリシーがアタッチされている KMS キーを示します。

IAM ポリシー内の AWS KMS リソースを表すには、次の値を使用します。

KMS キー

リソースが KMS キーの場合は、そのキー ARN を使用します。ヘルプについては、「キー ID とキー ARN を検索する」を参照してください。

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

例:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

エイリアス

リソースがエイリアスの場合は、そのエイリアス ARN を使用します。ヘルプについては、「KMS キーのエイリアス名とエイリアス ARN を見つける」を参照してください。

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

例:

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

* (アスタリスク)

アクセス許可が特定のリソース (KMS キーまたはエイリアス) に適用されない場合は、アスタリスク (*) を使用します。

IAM ポリシーの AWS KMS アクセス許可では、Resource 要素のアスタリスクはすべての AWS KMS リソース (KMS キーとエイリアス) を示します。AWS KMS アクセス許可が特定の KMS キーやエイリアスに適用されない場合にも、Resource 要素でアスタリスクを使用できます。例えば、 kms:CreateKey または kms:ListKeys のアクセス許可を許可または拒否する場合は、Resource 要素を * に設定する必要があります。
AWS KMS 条件キーには、オペレーションへのアクセスを制御するために使用できる AWS KMS 条件キーが一覧表示されます。ポリシーの Condition 要素で条件を指定します。詳細については、「AWS KMS 条件キー」を参照してください。また、この列にはでサポートされる (ただし、すべての AWS サービスではなく) AWS KMS グローバル条件キーAWSも含まれています。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

キー仕様のリファレンス

AWS KMS 内部オペレーション