での許可 AWS KMS

grant のアクセス許可を制限する条件。 は 2 種類のグラント制約 AWS KMS をサポートします。

詳細については、「グラントの制約の使用」を参照してください。

KMS キーのグラントの一意の識別子。キー識別子と共にグラント ID を使用し、RetireGrant または RevokeGrant リクエストでグラントを識別できます。

許可で許可できる AWS KMS オペレーション。他のオペレーションを指定した場合、ValidationError の例外により、CreateGrant リクエストは失敗します。これらは、グラントトークンを承認するオペレーションでもあります。これらのアクセス許可の詳細については、AWS KMS アクセス許可 を参照してください。

これらのグラントオペレーションは、オペレーションを使用するアクセス許可を表します。したがって、ReEncrypt オペレーションの場合、ReEncryptFrom、ReEncryptTo、または両方の ReEncrypt* を指定できます。

グラントオペレーション:

許可するグラントオペレーションは、許可の KMS キーでサポートされている必要があります。サポートされていないオペレーションを指定すると、ValidationError の例外により、CreateGrant リクエストは失敗します。例えば、対称暗号化 KMS キーのグラントは、Sign、Verify、GenerateMac または VerifyMac オペレーションを許可できません。非対称 KMS キーのグラントは、データキーまたはデータキーペアを生成するいかなるオペレーションも許可できません。

AWS KMS API は結果整合性モデルに従います。グラントを作成すると、変更が AWS KMS全体に適用されるまでに若干の遅延が生じることがあります。通常、変更がシステム全体に反映されるまでに数秒もかかりませんが、場合によっては数分かかることがあります。グラントがシステム全体に完全に伝播される前に使用しようとすると、アクセス拒否エラーが発生することがあります。グラントトークンを使用すると、グラントを参照し、グラントのアクセス許可をすぐに使用できます。

グラントトークンは、一意、非シークレット、可変長、base64 エンコードの、グラントを表す文字列です。グラントトークンを使用して、任意のグラントオペレーションでグラントを識別できます。ただし、トークン値はハッシュダイジェストであるため、グラントの詳細は明らかになりません。

グラントトークンは、グラントが  AWS KMS 全体に完全に伝播されるまでにのみ使用されるように設計されています。その後、被付与者プリンシパルは、グラントトークンやその他のグラント限の証拠を提供することなく、グラントでアクセス許可を使用することができます。グラントトークンはいつでも使用できますが、グラントが最終的に一貫していると、 はグラントトークンではなくグラント AWS KMS を使用してアクセス許可を決定します。

例えば、次のコマンドでは、GenerateDataKey オペレーションを呼び出します。これは、グラントトークンを使用して、発信者 (被付与者プリンシパル) に、指定した KMS キーで GenerateDataKey を呼び出す許可を付与します。

$ aws kms generate-data-key \
        --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
        --key-spec AES_256 \
        --grant-token $token

また、グラントトークンを使用して、グラントを管理するオペレーションでグラントを識別することもできます。例えば、廃止プリンシパルは、RetireGrant オペレーションの呼び出し時に、グラントトークンを使用できます。

$ aws kms retire-grant \
        --grant-token $token

CreateGrant は、グラントトークンを返す唯一のオペレーションです。CreateGrant AWS KMS オペレーションの他のオペレーションまたは CloudTrail ログイベントからグラントトークンを取得することはできません。ListGrants および ListRetirableGrants オペレーションは、グラントトークンではなくグラント ID を返します。

詳細については、「グラントトークンを使用する」を参照してください。

グラントで指定されたアクセス許可を取得する AWS プリンシパル (IAM ID)。

被付与者プリンシパルは、 AWS アカウント (ルート）、IAM ユーザー、IAM ロール、フェデレーティッドロールまたはユーザー、引き受けたロールユーザーなど、任意のプリン AWS シパルにすることができます。被付与者プリンシパルは、KMS キーと同じアカウントか、別のアカウントにすることができます。ただし、被付与者プリンシパルを、サービスプリンシパル、IAM グループ、AWS 組織にすることはできません。

被付与者プリンシパルを指定するには、CreateGrant リクエストで GranteePrincipalパラメータを使用します。

グラントで指定されたアクセス許可を取得する AWS サービスプリンシパル。被付与者サービスプリンシパルを指定するには、CreateGrant リクエストで GranteeServicePrincipalパラメータを使用します。

を使用して許可を作成するときはGranteeServicePrincipal、 も含める必要がありますSourceArn grant constraint。このSourceArn制約により、サービスプリンシパルは、指定された AWS リソースに代わってリクエストが行われた場合にのみ KMS キーを使用できます。

を指定するときはGranteeServicePrincipal、 RetiringPrincipalまたは も指定する必要がありますRetiringServicePrincipal。

グラントを終了します。アクセス許可の使用が終了したら、グラントを廃止にします。

グラントの取り消しと使用停止のどちらも、グラント限を削除します。ただし、使用停止はグラントで指定されたプリンシパルによって行われます。通常、取り消しはキー管理者が行います。詳細については、「グラントの使用停止と取り消し」を参照してください。

グラントを廃止にするプリンシパル。グラントで使用停止プリンシパルを指定できますが、必須ではありません。廃止するプリンシパルは、IAM ユーザー AWS アカウント、IAM ロール、フェデレーティッドユーザー、引き受けたロールユーザーなど、任意のプリンシ AWS パルにすることができます。使用停止プリンシパルは、KMS キーと同じアカウントか、別のアカウントにすることができます。

廃止プリンシパルを指定するには、CreateGrant リクエストで RetiringPrincipalパラメータを使用します。

許可を廃止するアクセス許可を持つ AWS サービスプリンシパル。廃止するサービスプリンシパルを指定するには、CreateGrant リクエストで RetiringServicePrincipalパラメータを使用します。

グラントを終了します。グラントを取り消して、グラントが許可するアクセス許可をアクティブに拒否します。

権限の取り消しと使用停止のどちらも、権限を削除します。ただし、使用停止はグラントで指定されたプリンシパルによって行われます。通常、取り消しはキー管理者が行います。詳細については、「グラントの使用停止と取り消し」を参照してください。

AWS KMS API は結果整合性モデルに従います。グラントの作成、廃止、または取り消しを行うと、変更が AWS KMS全体に適用されるまでに若干の遅延が生じることがあります。通常、変更がシステム全体に反映されるまでに数秒もかかりませんが、場合によっては数分かかることがあります。

想定外のエラーが発生する場合は、この短い遅延に注意する必要があります。たとえば、新しい権限を管理しようとする場合や、権限が全体で認識される前に新しい権限で権限を使用しようとすると AWS KMS、アクセス拒否エラーが発生する可能性があります。グラントを廃止にするか取り消す場合でも、被付与者プリンシパルは、グラントが完全に削除されるまで、そのアクセス許可を短い期間使用できる可能性があります。一般的な戦略はリクエストを再試行することであり、一部の AWS SDKs には自動バックオフと再試行ロジックが含まれています。

AWS KMS には、この短い遅延を軽減する機能があります。

詳細については、「AWS KMS  の結果整合性」を参照してください。