KMSキーARN — 暗号化キーの参照
AWS KMSキーARNを解析し、キーIDの形式、キーARNとキーエイリアスARNの違い、暗号化コンテキストでのKMS ARNの表示方法を理解します。
Security
詳細な説明
KMSキーARNの構造
AWS KMSキーARNは、暗号化に使用されるカスタマーマスターキー(CMK)を識別します。キーIDはUUIDであり、エイリアスは人間が読みやすい名前を提供します。
ARNの例
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
解析されたコンポーネント
| コンポーネント | 値 |
|---|---|
| Partition | aws |
| Service | kms |
| Region | us-east-1 |
| Account ID | 123456789012 |
| Resource Type | key |
| Resource ID | 12345678-1234-1234-1234-123456789012 |
キーARNとエイリアスARN
KMSキーはキーARNまたはエイリアスARNで参照できます:
- キーARN:
arn:aws:kms:us-east-1:123456789012:key/12345678-... - エイリアスARN:
arn:aws:kms:us-east-1:123456789012:alias/my-app-key
キーARNはUUIDを使用し、変更されることはありません。エイリアスは異なるキーに再割り当て可能な可変ポインターです。IAMポリシーでは、キーARNの参照がより安定しており、エイリアスはより読みやすいです。
AWSマネージドキー
AWSマネージドキーはaws/でプレフィックスされたエイリアスを持ちます:
arn:aws:kms:us-east-1:123456789012:alias/aws/s3
arn:aws:kms:us-east-1:123456789012:alias/aws/ebs
キーポリシーとグラント
すべてのKMSキーには、ARNを使用してどのプリンシパルがキーを使用できるかを定義するキーポリシーがあります。キーポリシーはAWSでユニークです。KMSキーへのアクセスを付与する唯一の方法です。キーポリシーが明示的にIAMに委任しない限り、IAMポリシーだけではKMSアクセスを付与できません。
マルチリージョンキー
マルチリージョンKMSキーは異なるリージョンに関連するキーを持ち、それぞれ独自のARNがあります。キーは同じキーマテリアルを共有しますが、独立したリソースです。
ユースケース
S3バケット暗号化設定、EBSボリューム暗号化設定、RDSインスタンス暗号化でのKMSキーの参照。キーARNはCloudFormationテンプレートやTerraform設定で保存時の暗号化を指定するためにも使用されます。