kms:DescribeKeyの日本語翻訳がとても難儀

下記AWS公式ドキュメントの最下段のKMSのAction、kms:DescribeKey について、KMSを使うなら必要なActionという位置づけはなんとなく伝わってくる。しかし、AWS公式の日本語翻訳が「記述する」となっていてポリシー挙動を具体的にイメージできない。

https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html

IAMポリシーでKMSを選択し、kms:DescribeKeyをビジュアルエディタで確認すると、アクションのアクセスレベルは「読み込み」の中に配置され、説明には以下のように記載されている。

Controls permission to view detailed information about an AWS KMS key

日本語翻訳は、AWS KMSキーの詳細情報を表示する権限を制御する、とのこと。

キーポリシーの例

AWS KMS キーポリシーの設定 CloudTrail を有効にしてKMSキープロパティを記述するのキーポリシー

{
  "Sid": "Allow CloudTrail access",
  "Effect": "Allow",
  "Principal": {
    "Service": "cloudtrail.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "arn:aws:kms:Region:account_ID:key/key_ID",
  "Condition": {
    "StringEquals": {
        "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trailName"
    }
  }
}

上記KMSキーポリシーは、以下のような解釈に至った。

CloudTrailサービスが、

AWSアカウントID△△△△△△の△△△△△△リージョンの証跡名△△△△△△に限り、

AWSアカウントID△△△△△△の△△△△△△リージョンのKMS CMKのキーID△△△△△△△に対して

KMSキープロパティを記述する権限を付与する

KMSキープロパティとは、具体的に何のこと?

おそらく、CloudTrailが「EncryptionContextである証跡に対してDataKeyを使い、暗号化や復号化した際のログ」のこと。

つまり、「EncryptionContextに対してDataKeyを使い、暗号化や復号化したログ」を証跡に書き込むというのがDescribeKey

結論

「CloudTrailサービスが、特定の証跡リソースに対し、特定のKMS CMKのキーのプロパティを提供する」=「特定の証跡リソースがKMS CMKの(データ)キーの利用権を付与される」を意味する。

間違っていたら、まじですみません。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください