~~NOCACHE~~
## キー作成-セッションマネージャ
セッションマネージャ用のKMS作成メモ
図に起こすと下記のイメージです。
{{:Aws:KMS:pasted:20210314-195136.png?direct 600x0}}
### 設定値(キーの作成)
注意する点は[キーの使用アクセス許可を定義]の[このアカウント]の部分です。
上記で、EC2にアタッチしているIAMロールを指定します。
※IAMロール側でポリシーを設定することでもキーの使用は可能です。
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/getting-started-add-permissions-to-existing-profile.html

#### キーを設定
・キーのタイプ：対象
・詳細オプション：KMS

#### ラベルを追加
・エイリアス：任意の名前
・説明：任意
・タグ：任意

#### キーの管理アクセス許可を定義
このキーを管理できる IAM ユーザーとロールを選択します。
・キー管理者：IAMユーザーまたはロールを指定
・キーの削除：必要に応じてチェック

#### キーの使用アクセス許可を定義
暗号化オペレーションで CMK を使用できる IAM ロールを選択します。
・このアカウント：IAMロールを指定　<color #ed1c24>※EC2にアタッチしているIAMロールを指定します。</color>
・別のAWSアカウント：必要に応じて指定
### キーの使用アクセス許可を後から追加したい場合
#### KMS側で許可する場合
{{:Aws:KMS:pasted:20210314-121206.png?direct 600x0}}

#### IAM側で許可する場合(IAMポリシーサンプル)
<sxh bash; highlight: [9]; gutter:True; title:ハイライトは自身の環境に合わせて書き換える行です。>
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": ["キーのarnを指定"]
    }
  ]
}

</sxh>

{{tag>AWS  SystemsManager セッションマネージャ KMS 実践的}}