三歩あるけば物も忘れる

・[マネージド型キー]で暗号化されたAMIをアカウント間でコピーする。
・コピーする過程で作成するコピー元のアカウントの[カスタマー管理型のキー]が削除されても、コピー先のAMIは影響を受けないようにしたい。
・コピー元：アカウントA、コピー先：アカウントBとして以下に説明する。

こんな感じでした。

Aws/KMS/キー作成-セッションマネージャを参考に、[カスタマー管理型のキー]を作成します。

手順①で作成した[カスタマー管理型のキー]のキーポリシーに、以下の権限を追加する。

        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{アカウントBのID}:root"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        }

特段注意事項はありません、AMIを作成します。

手順①で作成した[カスタマー管理型のキー]を指定してコピーします。
・送信先リージョン：コピー先のリージョン
・名前：好きな名前
・暗号化：チェックする
・マスターキー：手順①で作成した[カスタマー管理型のキー]

・このイメージは現在：プライベートのまま
・AWSアカウント番号：アカウントBのアカウントIDを入力して、[アクセス許可の追加]をクリック
・パーミッションを作成するときは次の関連付けられたスナップショットに “ボリューム作成” パーミッションを追加する：チェックする

アカウントBの[マネージド型キー]を指定してコピーします。
・送信先リージョン：コピー先のリージョン
・名前：好きな名前
・暗号化：チェックする
・マスターキー：(デフォルト)aws/ebs

アカウントBでは
・EC2起動不可
・AMIコピー不可

・EC2起動可能
・AMIコピー可能