翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon MSF でカスタマーマネージドキーを使用 CMK ポリシーの対象となる Amazon MSF アプリケーションを確立、管理、運用するとき、次の要素を考慮する必要があります。 **カスタマーマネージドキー** これは[キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)と[キーマテリアル](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-material)です。実行中のアプリケーションストレージおよび永続的なアプリケーションストレージでアプリケーションの状態を暗号化するために使用されるキーを作成する必要があります。 **アプリケーションライフサイクルオペレータ (API 発信者)** これは **Operator** の IAM ユーザーまたはロールです。オペレータは人間であれば、Amazon MSF アプリケーションを作成、デプロイ、実行する CI/CD パイプラインなどのオートメーションである場合もあります。アプリケーションライフサイクルオペレータは、IAM ロールまたはユーザーのいずれかです。 **注記** キー管理者およびオペレータが同じ人物である可能性があります。この場合、常に個別のロールまたはユーザーを使用することをお勧めします。 **アプリケーション** これは作成する Amazon MSF アプリケーションです。アプリケーション実行 (IAM) ロールは、CMK を使用するために変更する必要はありません。Amazon MSF の IAM の詳細については、「[Amazon Managed Service for Apache Flink のIDとアクセスマネジメント](security-iam.md)」を参照してください。 **ポリシー間の依存関係** CMK に割り当てられたキーポリシーおよびアプリケーションライフサイクルオペレータのアクセス許可を定義する IAM ポリシーには、相互依存関係があります。次の順序で作成できます。 IAM ポリシーが CMK のアクセス許可を定義せず、オペレータ IAM ユーザーまたはロールを作成します。オペレータは AOK でアプリケーションを作成します。 KMS キーを管理するアクセス許可を持つキー管理者を作成します。キー管理者は CMK を作成します。キーポリシーはオペレータおよび管理者ロール ARN、ならびにアプリケーション ARN を参照します。詳細については、「[KMS キーポリシーを作成する](manage-cmk-api.md#create-cmk-kms-key-policy)」を参照してください。 オペレータの IAM ポリシーを作成して、アプリケーションの CMK を管理できるようにします。詳細については、「[アプリケーションライフサイクルオペレータ (API 発信者) のアクセス許可](manage-cmk-api.md#create-cmk-kms-api-caller-permissions)」を参照してください。新しい IAM ポリシーをオペレータにアタッチします。オペレータは、CMK を有効にするアプリケーションを更新します。詳細については、「[CMK を使用するように既存のアプリケーションを更新する](manage-cmk-api.md#update-existing-app-use-cmk-api)」を参照してください。 アプリケーションが存在しない場合、CMK なしでアプリケーションを作成します。 次の図では、CMK が Amazon MSF に実装される方法が示されます。 ![\[Amazon MSF でのカスタマーマネージドキーの実装。\]](http://docs.aws.amazon.com/ja_jp/managed-flink/latest/java/images/MSF_CMK_architecture.png) 1. **カスタマーマネージドキー (CMK)**: キーポリシーおよびキーマテリアルで構成されます。 1. **キー管理者**: `KeyAdmin` IAM ユーザーまたはロール。 1. **アプリケーションライフサイクルオペレーター (API 発信者)**: オペレータ IAM ユーザーまたはロール。 1. **アプリケーション**: 実行 (IAM) ロールがアタッチされています。