翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS の 管理ポリシー AWS Key Management Service
<a name="security-iam-awsmanpol"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

## AWS マネージドポリシー: AWSKeyManagementServicePowerUser
<a name="security-iam-awsmanpol-AWSKeyManagementServicePowerUser"></a>

`AWSKeyManagementServicePowerUser` ポリシーを IAM アイデンティティにアタッチできます。

`AWSKeyManagementServicePowerUser` マネージドポリシーを使用して、アカウントの IAM プリンシパルにパワーユーザーの許可を付与できます。パワーユーザーは KMS キーを作成し、作成した KMS キーを使用および管理し、すべての KMS キーと IAM アイデンティティを表示できます。`AWSKeyManagementServicePowerUser` マネージドポリシーを持つプリンシパルは、キーポリシー、他の IAM ポリシー、許可など、他のソースから許可を取得することもできます。

`AWSKeyManagementServicePowerUser` は AWS マネージド IAM ポリシーです。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

**注記**  
KMS キーに固有のこのポリシー内の許可は (`kms:TagResource` および `kms:GetKeyRotationStatus` など)、その KMS キーのキーポリシーが、キーへのアクセスを制御するために IAM ポリシーを使用することを AWS アカウント に対して[明示的に許可している](key-policy-default.md#key-policy-default-allow-root-enable-iam)場合にのみ有効です。許可が KMS キーに固有のものであるかどうかを判断するには、[AWS KMS アクセス許可](kms-api-permissions-reference.md) を表示して、**[Resources]** (リソース) 列にある **[KMS key]** (KMS キー) の値を確認します。  
このポリシーは、オペレーションを許可するキーポリシーを持つすべての KMS キーに対して、パワーユーザーの許可を付与します。クロスアカウントの許可の場合 (`kms:DescribeKey` および `kms:ListGrants` など)、これにより、信頼されていない AWS アカウントの KMS キーが含まれる可能性があります。詳細については、「[IAM ポリシーのベストプラクティス](iam-policies-best-practices.md)」および「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。許可が他のアカウントの KMS キーに対して有効かどうかを判断するには、[AWS KMS アクセス許可](kms-api-permissions-reference.md) を表示して、**[Cross-account use]** (クロスアカウントの使用) 列にある **[Yes]** (はい) の値を確認します。  
プリンシパルがエラーなしで AWS KMS コンソールを表示できるようにするには、ポリシーに含まれていない [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) アクセス許可が必要です`AWSKeyManagementServicePowerUser`。この許可は、別の IAM ポリシーで許可できます。

[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) マネージド IAM ポリシーには、以下の許可が含まれます。
+ プリンシパルが KMS キーを作成できるようにします。このプロセスにはキーポリシーの設定が含まれるため、パワーユーザーは自分や他者に、自分が作成した KMS キーを使用および管理するためのアクセス許可を付与することができます。
+ プリンシパルは、すべての KMS キーの[エイリアス](kms-alias.md)と[タグ](tagging-keys.md)を作成および削除できます。タグまたはエイリアスを変更すると、KMS キーを使用および管理するためのアクセス許可が、許可または拒否される場合があります。詳細については、「[の ABAC AWS KMS](abac.md)」を参照してください。
+ プリンシパルは、キー ARN、暗号化設定、キーポリシー、エイリアス、タグ、[ローテーション状態](rotate-keys.md)など、すべての KMS キーに関する詳細情報を取得できます。
+ プリンシパルが IAM ユーザー、グループ、ロールを一覧表示できるようにします。
+ このポリシーでは、プリンシパルが自分で作成していない KMS キーを使用または管理することは許可できません。ただし、すべての KMS キーのエイリアスとタグを変更することはできるため、KMS キーを使用または管理する許可を許可または拒否できる可能性があります。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」の[AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)」を参照してください。

## AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceCustomKeyStores
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceCustomKeyStores"></a>

IAM エンティティに `AWSServiceRoleForKeyManagementServiceCustomKeyStores` をアタッチすることはできません。このポリシーは、 AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターを表示し、カスタムキーストアとその AWS CloudHSM クラスター間の接続をサポートするネットワークを作成するアクセス許可を付与 AWS KMS するサービスにリンクされたロールにアタッチされます。詳細については、「[AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する](authorize-kms.md)」を参照してください。

## AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceMultiRegionKeys"></a>

IAM エンティティに `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` をアタッチすることはできません。このポリシーは、マルチリージョンプライマリキーのキーマテリアルへの変更をレプリカキーに同期する AWS KMS アクセス許可を付与するサービスにリンクされたロールにアタッチされます。詳細については、「[マルチリージョンキー AWS KMS の同期を許可する](multi-region-auth-slr.md)」を参照してください。

## AWS KMS AWS 管理ポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>

このサービスがこれらの変更の追跡を開始 AWS KMS してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、 AWS KMS [ドキュメント履歴](dochistory.md) ページの RSS フィードを購読してください。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – 既存のポリシーの更新  |  AWS KMS は、ポリシーバージョン v2 の マネージドポリシーにステートメント ID (`Sid`) フィールドを追加しました。  |  2024 年 11 月 21 日  | 
|  [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – 既存ポリシーの更新  |  AWS KMS に`ec2:DescribeVpcs`、 AWS CloudHSM クラスターを含む VPC の変更をモニタリングするための `ec2:DescribeNetworkAcls`、、および アクセス`ec2:DescribeNetworkInterfaces`許可が追加されました。これにより、 は障害発生時に明確なエラーメッセージを提供 AWS KMS できます。  |  2023 年 11 月 10 日  | 
|  AWS KMS が変更の追跡を開始しました  |  AWS KMS は、 AWS 管理ポリシーの変更の追跡を開始しました。  |  2023 年 11 月 10 日  |