翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の 管理ポリシー AWS Key Management Service
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。
詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS マネージドポリシー: AWSKeyManagementServicePowerUser
AWSKeyManagementServicePowerUser ポリシーを IAM アイデンティティにアタッチできます。
AWSKeyManagementServicePowerUser マネージドポリシーを使用して、アカウントの IAM プリンシパルにパワーユーザーの許可を付与できます。パワーユーザーは KMS キーを作成し、作成した KMS キーを使用および管理し、すべての KMS キーと IAM アイデンティティを表示できます。AWSKeyManagementServicePowerUser マネージドポリシーを持つプリンシパルは、キーポリシー、他の IAM ポリシー、許可など、他のソースから許可を取得することもできます。
AWSKeyManagementServicePowerUser は AWS マネージド IAM ポリシーです。 AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」を参照してください。
注記
KMS キーに固有のこのポリシー内の許可は (kms:TagResource および kms:GetKeyRotationStatus など)、その KMS キーのキーポリシーが、キーへのアクセスを制御するために IAM ポリシーを使用することを AWS アカウント に対して明示的に許可している場合にのみ有効です。許可が KMS キーに固有のものであるかどうかを判断するには、AWS KMS アクセス許可 を表示して、[Resources] (リソース) 列にある [KMS key] (KMS キー) の値を確認します。
このポリシーは、オペレーションを許可するキーポリシーを持つすべての KMS キーに対して、パワーユーザーの許可を付与します。クロスアカウントの許可の場合 (kms:DescribeKey および kms:ListGrants など)、これにより、信頼されていない AWS アカウントの KMS キーが含まれる可能性があります。詳細については、「IAM ポリシーのベストプラクティス」および「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。許可が他のアカウントの KMS キーに対して有効かどうかを判断するには、AWS KMS アクセス許可 を表示して、[Cross-account use] (クロスアカウントの使用) 列にある [Yes] (はい) の値を確認します。
プリンシパルがエラーなしで AWS KMS コンソールを表示できるようにするには、ポリシーに含まれていない tag:GetResources アクセス許可が必要ですAWSKeyManagementServicePowerUser。この許可は、別の IAM ポリシーで許可できます。
AWSKeyManagementServicePowerUser
-
プリンシパルが KMS キーを作成できるようにします。このプロセスにはキーポリシーの設定が含まれるため、パワーユーザーは自分や他者に、自分が作成した KMS キーを使用および管理するためのアクセス許可を付与することができます。
-
プリンシパルは、すべての KMS キーのエイリアスとタグを作成および削除できます。タグまたはエイリアスを変更すると、KMS キーを使用および管理するためのアクセス許可が、許可または拒否される場合があります。詳細については、「の ABAC AWS KMS」を参照してください。
-
プリンシパルは、キー ARN、暗号化設定、キーポリシー、エイリアス、タグ、ローテーション状態など、すべての KMS キーに関する詳細情報を取得できます。
-
プリンシパルが IAM ユーザー、グループ、ロールを一覧表示できるようにします。
-
このポリシーでは、プリンシパルが自分で作成していない KMS キーを使用または管理することは許可できません。ただし、すべての KMS キーのエイリアスとタグを変更することはできるため、KMS キーを使用または管理する許可を許可または拒否できる可能性があります。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAWSKeyManagementServicePowerUser」を参照してください。
AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceCustomKeyStores
IAM エンティティに AWSServiceRoleForKeyManagementServiceCustomKeyStores をアタッチすることはできません。このポリシーは、 AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターを表示し、カスタムキーストアとその AWS CloudHSM クラスター間の接続をサポートするネットワークを作成するアクセス許可を付与 AWS KMS するサービスにリンクされたロールにアタッチされます。詳細については、「AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する」を参照してください。
AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
IAM エンティティに AWSServiceRoleForKeyManagementServiceMultiRegionKeys をアタッチすることはできません。このポリシーは、マルチリージョンプライマリキーのキーマテリアルへの変更をレプリカキーに同期するアクセス許可を付与 AWS KMS するサービスにリンクされたロールにアタッチされます。詳細については、「マルチリージョンキー AWS KMS の同期を許可する」を参照してください。
AWS KMSAWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS KMS してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、 AWS KMS ドキュメント履歴 ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – 既存のポリシーの更新 |
AWS KMS は、ポリシーバージョン v2 の マネージドポリシーにステートメント ID ( |
2024 年 11 月 21 日 |
|
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – 既存ポリシーの更新 |
AWS KMS に |
2023 年 11 月 10 日 |
|
AWS KMS が変更の追跡を開始しました |
AWS KMS は、 AWS 管理ポリシーの変更の追跡を開始しました。 |
2023 年 11 月 10 日 |
