目次

キー作成-セッションマネージャ

セッションマネージャ用のKMS作成メモ
図に起こすと下記のイメージです。

設定値(キーの作成)

注意する点は[キーの使用アクセス許可を定義]の[このアカウント]の部分です。
上記で、EC2にアタッチしているIAMロールを指定します。
※IAMロール側でポリシーを設定することでもキーの使用は可能です。
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/getting-started-add-permissions-to-existing-profile.html

キーを設定

・キーのタイプ:対象
・詳細オプション:KMS

ラベルを追加

・エイリアス:任意の名前
・説明:任意
・タグ:任意

キーの管理アクセス許可を定義

このキーを管理できる IAM ユーザーとロールを選択します。
・キー管理者:IAMユーザーまたはロールを指定
・キーの削除:必要に応じてチェック

キーの使用アクセス許可を定義

暗号化オペレーションで CMK を使用できる IAM ロールを選択します。
・このアカウント:IAMロールを指定 ※EC2にアタッチしているIAMロールを指定します。
・別のAWSアカウント:必要に応じて指定

キーの使用アクセス許可を後から追加したい場合

KMS側で許可する場合

IAM側で許可する場合(IAMポリシーサンプル)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": ["キーのarnを指定"]
    }
  ]
}