キー作成-セッションマネージャ
セッションマネージャ用のKMS作成メモ
図に起こすと下記のイメージです。
設定値(キーの作成)
注意する点は[キーの使用アクセス許可を定義]の[このアカウント]の部分です。
上記で、EC2にアタッチしているIAMロールを指定します。
※IAMロール側でポリシーを設定することでもキーの使用は可能です。
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/getting-started-add-permissions-to-existing-profile.html
キーを設定
・キーのタイプ:対象
・詳細オプション:KMS
ラベルを追加
・エイリアス:任意の名前
・説明:任意
・タグ:任意
キーの管理アクセス許可を定義
このキーを管理できる IAM ユーザーとロールを選択します。
・キー管理者:IAMユーザーまたはロールを指定
・キーの削除:必要に応じてチェック
キーの使用アクセス許可を定義
暗号化オペレーションで CMK を使用できる IAM ロールを選択します。
・このアカウント:IAMロールを指定 ※EC2にアタッチしているIAMロールを指定します。
・別のAWSアカウント:必要に応じて指定
キーの使用アクセス許可を後から追加したい場合
KMS側で許可する場合
IAM側で許可する場合(IAMポリシーサンプル)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": ["キーのarnを指定"]
}
]
}