Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KMSカスタマーマネージドキーのちょっと特殊な仕様3選

Avatar for Yuki Y Yuki Y
August 06, 2025
1
150

 KMSカスタマーマネージドキーのちょっと特殊な仕様3選

Avatar for Yuki Y

Yuki Y

August 06, 2025
Tweet

More Decks by Yuki Y

See All by Yuki Y
はじめてのバイブコーディング with Amazon Q Developer CLI
Avatar for Yuki Y yyamashita
1
21

Featured

See All Featured
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.7k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
110
19k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
870
Designing for Performance
Avatar for Lara Hogan lara
610
69k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
73
5k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
56
5.7k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.5k

Transcript

  1. KMSカスタマーマネージドキーの ちょっと特殊な仕様3選 2025年8月7日 日本アイ・ビー・エム システムズ・エンジニアリング株式会社 Technical Competency Center CloudPlatform 1

    山下 祐樹

  2. 2 • 氏名 - 山下 祐樹(やました ゆうき) • 所属 -

    日本アイ・ビー・エム システムズ・エンジニアリング 株式会社(ISE) • 普段の業務 - AWSインフラの設計構築案件に従事 • AWS資格 - 2023/2025 Japan AWS All Certifications Engineers 自己紹介

  3. 3 はじめにお断り • 本資料の内容は個人の見解です。所属組織を代表する意見ではありませんので、ご理解ご認識の程 よろしくお願いいたします。

  4. KMSカスタマーマネージドキーについて

  5. 5 KMSカスタマーマネージドキーとは • (かいつまんで言うと)ユーザーがポリシー設定や削除を行えるKMSキー。 • ポリシーによる柔軟なアクセス制御が可能であり、キーの削除によってデータを復号不可能に出来 る(=安全なデータ廃棄が出来る)ため、セキュリティ要件の厳しい組織では導入が必須のケース もある。 • ただし、誤ってキーを削除するとデータを復元できないため、慎重な管理が求められる。

    (※そのことが、これから紹介する仕様の一因であると思われる。) AWS Key Management Service (AWS KMS)

  6. ちょっと特殊な仕様その1 キーポリシーで、明示的にIAMによるアクセスを許可する必要がある。

  7. 7 IAMポリシーとリソースベースポリシーの関係 • 通常、同一アカウント内であれば、(明示的な拒否が無い限りは)IAMポリシーかリソースベースポ リシーのどちらかに許可があればよい。(権限境界やVPCエンドポイントポリシーは設定されてない ものとする) • KMSは、「IAMの権限でキーにアクセスすること」をキーポリシーで明示的に許可する必要がある。 そうしないと、IAMポリシーの許可設定は有効とならない。 S3の場合

    KMSの場合 IAMポリシーで S3の操作を許可 バケットポリシー でS3の操作を許可 IAMポリシーで キーの操作を許可 キーポリシーで キーの操作を許可 キーポリシーでIAM によるアクセスを 許可 IAMポリシーで キーの操作を許可

  8. 8 • 以下サンプルのようにキーポリシーを記載する。 • サンプルのPrincipal(赤枠)はrootユーザーのみではなく、アカウント全体を指している。(※1) • この状態で、IAMポリシーにKMSキーの許可設定を追加すれば、キーの操作が可能。(※2) KMSのキーポリシーでIAMによるアクセスを許可する方法 { "Id":

    "sample-key-policy", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{accound-id}:root" }, "Action": "kms:*", "Resource": "*" } ] } (※1) https://docs.aws.amazon.com/IAM/lates t/UserGuide/reference_policies_element s_principal.html#principal-accounts (※2) https://docs.aws.amazon.com/ja_jp/kms /latest/developerguide/key-policy- default.html#key-policy-default-allow- root-enable-iam

  9. ちょっと特殊な仕様その2 IAMユーザーにIP制限をかけていると、キーが利用できないケースがある。

  10. 10 • 具体例 - KMSカスタマーマネージドキーで暗号化したS3に対し、ファイルアップロード・ダウンロードができない。 - KMSカスタマーマネージドキーで暗号化したEBSボリュームを、EC2にアタッチできない。 (※) • 原因

    - KMSで暗号化されたリソースを操作しようとした場合、送信元IPがIAMユーザーではなく、そのリソース に関連付けられたIPアドレスになる場合があるため。 - 上記の例では、S3やEC2に関連づけられたIPアドレス。 - CloudTrailログでは、具体的なアドレスは表示されず、”AWS Internal” と表示される。(次項参照) IAMユーザーにIP制限がかかった状態で、KMSが利用できない具体例と原因 (※) https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/conditions-aws.html#conditions-aws-ip-address

  11. 11 CloudTrailのログサンプル(関係ない項目は一部省略) { "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId":

    "AIDATO53XXXXXXXXKR5DN", "arn": "arn:aws:iam::xxxxxxxxxxxx:user/KMS-SourceIP-Limit-Test", "accountId": "xxxxxxxxxxxx", "accessKeyId": "ASIATO53XXXXXXXX4B3N", "userName": "KMS-SourceIP-Limit-Test", "sessionContext": { "attributes": { "creationDate": "2024-09-11T23:27:27Z", "mfaAuthenticated": "false" } }, "invokedBy": "AWS Internal" }, "eventTime": "2024-09-11T23:29:45Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "ap-northeast-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "errorCode": "AccessDenied", "errorMessage": "User: arn:aws:iam::xxxxxxxxxxxx:user/KMS-SourceIP-Limit-Test is not authorized to perform: kms:GenerateDataKey on resource: arn:aws:kms:ap-northeast-1:xxxxxxxxxxxx:key/c9cdbfe6-xxxx- xxxx-xxxx-7adba90f5f3d with an explicit deny in an identity-based policy", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "sessionCredentialFromConsole": "true" } アクションの実行者は IAMユーザーになっている 送信元IPアドレスが “AWS Internal” になっている IAMポリシーでDenyされたと いうエラーメッセージが表示 されている

  12. ちょっと特殊な仕様その3 暗号化する対象によって、キーポリシーの内容がかなり異なる。

  13. 13 ECRの場合 – 概要 • ECRにイメージプッシュを行う主体(図ではEC2)には、KMSキーの使用権限が必要ない。 • ECRを作成する主体(図ではIAM User)に、CreateGrant等の権限が必要。

  14. 14 ECRの場合 – キーポリシーサンプル • IAMユーザーに、kms:CreateGrant・ kms:DescribeKey・kms:RetireGrant権限が必要。 • kms:RetireGrantは、キーポリシーではなくIAM ポリシー側に付与する必要がある。(※)

    (他の二つはIAMポリシーとキーポリシーのど ちらでも良い) { "Id": "sample-key-policy", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{accound-id}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow Grant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{accound-id}:user/{user-name}" }, "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] } (※) https://docs.aws.amazon.com/AmazonECR/latest/userg uide/encryption-at-rest.html#encryption-at-rest-iam

  15. 15 Secrets Managerの場合 – 概要 • シークレットを取得する主体(図ではLambda)に、KMSキーの使用権限が必要。 • Decryptの処理はSecrets Managerが実行するが、その際に権限を借りて実行する。

  16. 16 Secrets Managerの場合 – キーポリシーサンプル • シークレットを利用する主体に、KMSの利用権 限を付与。 (左図の赤枠) •

    IAMにKMSへのアクセス権限を与えたうえで、 IAMポリシーに権限を追加する方式でもOK。 • シークレットを取得するだけならDecrypt権限の みでOK。シークレット操作と必要なKMS権限の 関係性は下記公式ドキュメントを参照 (※) { "Version": "2012-10-17", "Id": “Secrets-Manager-sample-policy", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{accound-id}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable IAM Role Permissions", "Effect": "Allow", "Principal": { “AWS": "arn:aws:iam::{accound-id}:role/{role-name}" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:Describe*" ], "Resource": "*" } ] } (※) https://docs.aws.amazon.com/ja_jp/secretsmanager/lat est/userguide/security-encryption.html#security- encryption-using-cmk

  17. 17 CloudWatch Logsの場合 – 概要 • ログを作成する主体、ログを格納する主体には、KMSキーの使用権限が必要ない。 • CloudWatch Logsのサービスプリンシパルが、直接KMSキーを利用する。

  18. 18 CloudWatch Logsの場合 – キーポリシーサンプル • PrincipalにCloudWatch Logsのサービスプリンシ パルを指定。 •

    Condition句でEncriptionContextを指定すること で、KMSキーを利用可能なロググループを指定 することが可能。 { "Version": "2012-10-17", "Id": "logs-sample-policy", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "logs.{region}.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*", "Condition": { "ArnEquals": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:{region}:{account-id}:log-group:{log-group- name}" } } } ] } https://docs.aws.amazon.com/ja_jp/AmazonCloudWatc h/latest/logs/encrypt-log-data-kms.html

  19. まとめ

  20. 20 まとめ • KMSカスタマーマネージドキーには独特の仕様があるので、提案や設計時に実現不可能な案を採用してしまう リスクがあります。 • ミスリードを起こさぬよう、事前に調査・検証しておくことをお勧めします。

  21. 21 (おまけ)参考資料 • 今回ご紹介した仕様について検証した内容を、以下の個人ブログに記載しています。よろしければご参照くださ い。 - https://yuy-83.hatenablog.com/ - カテゴリー「AWS Key

    Management Service」で検索ください。

  22. FIN