kms:DescribeKeyの日本語翻訳がとても難儀
下記AWS公式ドキュメントの最下段のKMSのAction、kms:DescribeKey について、KMSを使うなら必要なActionという位置づけはなんとなく伝わってくる。しかし、AWS公式の日本語翻訳が「記述する」となっていてポリシー挙動を具体的にイメージできない。
IAMポリシーでKMSを選択し、kms:DescribeKeyをビジュアルエディタで確認すると、アクションのアクセスレベルは「読み込み」の中に配置され、説明には以下のように記載されている。
Controls permission to view detailed information about an AWS KMS key
日本語翻訳は、AWS KMSキーの詳細情報を表示する権限を制御する、とのこと。
キーポリシーの例
AWS KMS キーポリシーの設定 CloudTrail を有効にしてKMSキープロパティを記述するのキーポリシー
{
"Sid": "Allow CloudTrail access",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:Region:account_ID:key/key_ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trailName"
}
}
}上記KMSキーポリシーは、以下のような解釈に至った。
CloudTrailサービスが、
AWSアカウントID△△△△△△の△△△△△△リージョンの証跡名△△△△△△に限り、
AWSアカウントID△△△△△△の△△△△△△リージョンのKMS CMKのキーID△△△△△△△に対して
KMSキープロパティを記述する権限を付与する
KMSキープロパティとは、具体的に何のこと?
おそらく、CloudTrailが「EncryptionContextである証跡に対してDataKeyを使い、暗号化や復号化した際のログ」のこと。
つまり、「EncryptionContextに対してDataKeyを使い、暗号化や復号化したログ」を証跡に書き込むというのがDescribeKey
結論
「CloudTrailサービスが、特定の証跡リソースに対し、特定のKMS CMKのキーのプロパティを提供する」=「特定の証跡リソースがKMS CMKの(データ)キーの利用権を付与される」を意味する。
間違っていたら、まじですみません。
