LoginSignup
0

More than 1 year has passed since last update.

[AWS KMS] IAMによるKMSのアクセス制御を一部有効にする

Posted at

Identity base policy の基本

AWS公式ドキュメント『AWS アカウント へのアクセスを許可し、IAM ポリシーを有効にする』に記載されている通りだが。

IAMによるKMSのアクセス制御(identity base policy)を有効にするには、キーポリシーに以下の ような ポリシーを含める必要がある。

{
  "Sid": "Enable IAM policies",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:root"
   },
  "Action": "kms:*",
  "Resource": "*"
  }
}

このキーポリシーでは、KMSの全アクセス権がIAMポリシーで制御できるようになる。

一部のアクセス権の制御をIAMポリシーに渡す

公式ドキュメントからは読み取りづらいのだが、全アクセス権ではなく一部のアクセス権をIAMに渡すこともできる。
下記のキーポリシーのように Action を限定すれば、そのアクセス権だけがIAMで制御できるようになる。

{
  "Sid": "Enable IAM policies",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:root"
   },
-  "Action": "kms:*",
+  "Action": "kms:Get*",
  "Resource": "*"
  }
}

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0