AWS Key Management Service の AWS マネージドポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS マネージドポリシー: AWSKeyManagementServicePowerUser
AWSKeyManagementServicePowerUser ポリシーを IAM アイデンティティにアタッチできます。
AWSKeyManagementServicePowerUser マネージドポリシーを使用して、アカウントの IAM プリンシパルにパワーユーザーの許可を付与できます。パワーユーザーは KMS キーを作成し、作成した KMS キーを使用および管理し、すべての KMS キーと IAM アイデンティティを表示できます。AWSKeyManagementServicePowerUser マネージドポリシーを持つプリンシパルは、キーポリシー、他の IAM ポリシー、許可など、他のソースから許可を取得することもできます。
AWSKeyManagementServicePowerUser は AWS マネージド IAM ポリシーです。AWS マネージドポリシーの詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
注記
KMS キーに固有のこのポリシー内の許可は (kms:TagResource および kms:GetKeyRotationStatus など)、その KMS キーのキーポリシーが、キーへのアクセスを制御するために IAM ポリシーを使用することを AWS アカウント に対して明示的に許可している場合にのみ有効です。許可が KMS キーに固有のものであるかどうかを判断するには、AWS KMS アクセス権限 を表示して、[Resources] (リソース) 列にある [KMS key] (KMS キー) の値を確認します。
このポリシーは、オペレーションを許可するキーポリシーを持つすべての KMS キーに対して、パワーユーザーの許可を付与します。クロスアカウントの許可の場合 (kms:DescribeKey および kms:ListGrants など)、これにより、信頼されていない AWS アカウント の KMS キーが含まれる可能性があります。詳細については、「IAM ポリシーのベストプラクティス」および「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。許可が他のアカウントの KMS キーに対して有効かどうかを判断するには、AWS KMS アクセス権限 を表示して、[Cross-account use] (クロスアカウントの使用) 列にある [Yes] (はい) の値を確認します。
プリンシパルにエラーを表示することなく AWS KMS コンソールを表示するためには、プリンシパルに tag:GetResources 許可が必要になりますが、これは AWSKeyManagementServicePowerUser ポリシーに含まれていません。この許可は、別の IAM ポリシーで許可できます。
AWSKeyManagementServicePowerUser
-
プリンシパルが KMS キーを作成できるようにします。このプロセスにはキーポリシーの設定が含まれるため、パワーユーザーは自分や他者に、自分が作成した KMS キーを使用および管理するためのアクセス許可を付与することができます。
-
プリンシパルは、すべての KMS キーのエイリアスとタグを作成および削除できます。タグまたはエイリアスを変更すると、KMS キーを使用および管理するためのアクセス許可が、許可または拒否される場合があります。詳細については、「AWS KMS の ABAC」を参照してください。
-
プリンシパルは、キー ARN、暗号化設定、キーポリシー、エイリアス、タグ、ローテーション状態など、すべての KMS キーに関する詳細情報を取得できます。
-
プリンシパルが IAM ユーザー、グループ、ロールを一覧表示できるようにします。
-
このポリシーでは、プリンシパルが自分で作成していない KMS キーを使用または管理することは許可できません。ただし、すべての KMS キーのエイリアスとタグを変更することはできるため、KMS キーを使用または管理する許可を許可または拒否できる可能性があります。
このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSKeyManagementServicePowerUser」を参照してください。
AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceCustomKeyStores
IAM エンティティに AWSServiceRoleForKeyManagementServiceCustomKeyStores をアタッチすることはできません。このポリシーは、キーストアに関連付けられた AWS CloudHSM クラスターの表示、およびカスタム AWS CloudHSM キーストアとその AWS CloudHSM クラスター間の接続をサポートするネットワークの作成を行う AWS KMS アクセス許可を付与するサービスにリンクされたロールにアタッチされます。詳細については、「AWS CloudHSM および Amazon EC2 リソースの管理を AWS KMS に認可する」を参照してください。
AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
IAM エンティティに AWSServiceRoleForKeyManagementServiceMultiRegionKeys をアタッチすることはできません。このポリシーは、マルチリージョンプライマリキーのキーマテリアルへの変更をレプリカキーに同期する AWS KMS アクセス許可を付与するサービスにリンクされたロールにアタッチされます。詳細については、「マルチリージョンキーの同期を AWS KMS に認可する」を参照してください。
AWS マネージドポリシーの AWS KMS 更新
このサービスがこれらの変更の追跡を開始してからの、AWS KMS の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、[AWS KMS ドキュメント履歴] ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – 既存のポリシーの更新 |
AWS KMS は、ポリシーバージョン v2 でマネージドポリシーにステートメント ID ( |
2024 年 11 月 21 日 |
|
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – 既存ポリシーの更新 |
AWS KMS は、AWS CloudHSM クラスターが含まれる VPC 内の変更を監視するための |
2023 年 11 月 10 日 |
|
AWS KMS は変更の追跡を開始しました |
AWS KMS が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 11 月 10 日 |
