翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# カスタマーマネージド KMS キーと高度な KMS キーポリシーに関する考慮事項
<a name="considerations-for-customer-managed-kms-keys-advanced"></a>

IAM アイデンティティセンターでカスタマーマネージド KMS キーを実装する場合は、暗号化設定の設定、セキュリティ、継続的なメンテナンスに影響するこれらの要因を考慮してください。

## ベースラインとアドバンスト KMS キーポリシーステートメントの選択に関する考慮事項
<a name="kms-policy-considerations-advanced-vs-baseline"></a>

[高度な KMS キーポリシーステートメント](advanced-kms-policy.md) を使用して KMS キーのアクセス許可をより具体的にするかどうかを決定するときは、組織の管理オーバーヘッドとセキュリティニーズを考慮してください。より具体的なポリシーステートメントでは、キーを使用できるユーザーと目的をよりきめ細かく制御できます。ただし、IAM アイデンティティセンターの設定が進化するにつれて、継続的なメンテナンスが必要になります。たとえば、KMS キーの使用を特定の AWS マネージドアプリケーションのデプロイに制限する場合、組織がアプリケーションをデプロイまたはデプロイ解除するたびにキーポリシーを更新する必要があります。制限の少ないポリシーは管理上の負担を軽減しますが、セキュリティ要件に必要なよりも広範なアクセス許可を付与する可能性があります。

## カスタマーマネージド KMS キーを使用して新しい IAM アイデンティティセンターインスタンスを有効にする際の考慮事項
<a name="considerations-for-enabling-new-instance"></a>

 ここでの考慮事項は、「[高度な KMS キーポリシーステートメント](advanced-kms-policy.md)」で説明されている暗号化コンテキストを使用して、KMS キーの使用を特定の IAM アイデンティティセンター インスタンスに制限する場合に適用されます。

 カスタマーマネージド KMS キーを使用して新しい IAM アイデンティティセンターインスタンスを有効にする場合、IAM アイデンティティセンターと ID ストア ARN はセットアップ後まで使用できません。次のオプションがあります。
+  一時的に汎用 ARN パターンを使用し、インスタンスが有効になったら、 完全な ARN に置き換えます。必要に応じて、StringEquals 演算子と StringLike 演算子を切り替えてください。
  +  IAM アイデンティティセンター SPN の場合: "arn:${Partition}:sso:::instance/\*"。
  +  ID ストア SPN の場合: "arn:${Partition}:identitystore::${Account}:identitystore/\*"。
+  ARN で一時的に「purpose:KEY\_CONFIGURATION」を使用します。これはインスタンスの有効化にのみ機能し、IAM アイデンティティセンターインスタンスが正常に機能するには、実際の ARN に置き換える必要があります。このアプローチの利点は、インスタンスが有効になった後にこれを置き換えることを忘れないことです。
  +  IAM アイデンティティセンター SPN の場合は、「arn:${Partition}:sso:::instance/purpose:KEY\_CONFIGURATION」を使用します。
  +  ID ストア SPN の場合は、「arn:${Partition}:identitystore::${Account}:identitystore/purpose:KEY\_CONFIGURATION」を使用します。
**重要**  
 この設定は、既存の IAM アイデンティティセンターインスタンスで既に使用されている KMS キーに適用しないでください。通常のオペレーションが中断される可能性があります。
+  インスタンスが有効になるまで、KMS キーポリシーから暗号化コンテキスト条件を省略します。