<h2 id="kms%E3%81%AE%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%82%AD%E3%83%BC%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E5%86%85%E5%AE%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" data-line="0" class="code-line">
<a class="header-anchor-link" href="#kms%E3%81%AE%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%82%AD%E3%83%BC%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E5%86%85%E5%AE%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> KMSのデフォルトのキーポリシーの内容について</h2>
<p data-line="1" class="code-line">KMSのデフォルトのキーポリシー（KMSにてカスタマー管理型のキーを作成する際、「キー管理者」および「キーユーザー」に何も設定せずにキーを作成した場合のキーポリシー）における「arn:aws:iam::account-id:root」の解釈について調査したため、まとめます。</p>
<h2 id="%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%82%AD%E3%83%BC%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC" data-line="3" class="code-line">
<a class="header-anchor-link" href="#%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%82%AD%E3%83%BC%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC" aria-hidden="true"></a> デフォルトのキーポリシー</h2>
<p data-line="4" class="code-line">デフォルトのキーポリシーです。このポリシーによって許可されている範囲を本記事でまとめています。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__78e26371a1b19" src="https://embed.zenn.studio/card#zenn-embedded__78e26371a1b19" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2Fkms%2Flatest%2Fdeveloperguide%2Fkey-policy-default.html%23key-policy-default-allow-root-enable-iam" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/key-policy-default.html#key-policy-default-allow-root-enable-iam" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/key-policy-default.html#key-policy-default-allow-root-enable-iam</a></p>
<div class="code-block-container"><pre><code class="code-line" data-line="6">{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}
</code></pre></div><h2 id="%E8%83%8C%E6%99%AF" data-line="24" class="code-line">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF" aria-hidden="true"></a> 背景</h2>
<p data-line="25" class="code-line">ポリシーに<code>root</code>とあるため、アカウント（111122223333）のルートユーザーのすべてのKMSに対するすべてのアクションを許可するポリシーだと考えていました。</p>
<p data-line="27" class="code-line">しかし、マネージドポリシー「AdministratorAccess」がアタッチされたルートユーザー以外のユーザーであっても当該KMSキーの削除アクションができるため、この<code>root</code>はルートユーザーのことを示しておらず、他の意味を持っていると考えました。</p>
<h2 id="%E7%B5%90%E8%AB%96" data-line="29" class="code-line">
<a class="header-anchor-link" href="#%E7%B5%90%E8%AB%96" aria-hidden="true"></a> 結論</h2>
<p data-line="30" class="code-line">このデフォルトのキーポリシーは、アカウント内の（111122223333）IAMプリンシパル（IAMユーザーやIAMロール等）に許可を与えるということを示すということが分かりました。</p>
<p data-line="32" class="code-line">すなわち、KMSキーを操作するIAMプリンシパル（IAMユーザーやIAMロール等）にKMSに対する必要な権限が割り当てられていれば、ルートユーザー以外であっても、KMSに対するアクションが可能ということを指すということになります。</p>
<p data-line="34" class="code-line"><code>arn:aws:iam::111122223333:root</code>の解釈についてはこちらのドキュメントに記載されていました。</p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="36" class="code-line">この記事にある通り、<code>arn:aws:iam::111122223333:root</code>はAWSアカウント自体の指定となるので、ルートアカウントの<code>root</code>ではありません。</p>
</div></aside>
<p data-line="40" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__e39db1a309d1f" src="https://embed.zenn.studio/card#zenn-embedded__e39db1a309d1f" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2FIAM%2Flatest%2FUserGuide%2Freference_policies_elements_principal.html%23principal-accounts" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts</a></p>
<blockquote data-line="42" class="code-line">
<p data-line="42" class="code-line">AWS アカウント を指定するときは、アカウント ARN (arn:aws:iam::account-ID:root、または "AWS": プレフィックスの後に ID を付けた短縮形を使用できます。</p>
</blockquote>
<h2 id="%E3%82%AD%E3%83%BC%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AB%E3%81%A6%E3%83%AB%E3%83%BC%E3%83%88%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AB%E3%81%AE%E3%81%BF%E8%A8%B1%E5%8F%AF%E3%82%92%E4%B8%8E%E3%81%88%E3%81%9F%E3%81%84%E5%A0%B4%E5%90%88" data-line="44" class="code-line">
<a class="header-anchor-link" href="#%E3%82%AD%E3%83%BC%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AB%E3%81%A6%E3%83%AB%E3%83%BC%E3%83%88%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AB%E3%81%AE%E3%81%BF%E8%A8%B1%E5%8F%AF%E3%82%92%E4%B8%8E%E3%81%88%E3%81%9F%E3%81%84%E5%A0%B4%E5%90%88" aria-hidden="true"></a> キーポリシーにてルートユーザーにのみ許可を与えたい場合</h2>
<p data-line="45" class="code-line">では、実際にルートユーザーにのみ許可を与えるためのキーポリシーはどうなるのか。AWSの記事があったため紹介します。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__83e38c313826c" src="https://embed.zenn.studio/card#zenn-embedded__83e38c313826c" data-content="https%3A%2F%2Frepost.aws%2Fja%2Fknowledge-center%2Fkms-prevent-access" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://repost.aws/ja/knowledge-center/kms-prevent-access" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://repost.aws/ja/knowledge-center/kms-prevent-access</a></p>
<div class="code-block-container"><pre><code class="code-line" data-line="47">{
    "Sid": "EnableRootAccessAndPreventPermissionDelegation",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": "kms:*",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalType": "Account"
        }
    }
}
</code></pre></div><h2 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="64" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<p data-line="65" class="code-line">KMSのデフォルトのキーポリシーの<code>root</code>の意味がわからなかったため、備忘録的に記載しました。<br>
AWSのドキュメントを参考にしただけですが、この記事が誰かの参考になれば幸いです。</p>


KMSのデフォルトのキーポリシーの内容について

キーポリシーにてルートユーザーにのみ許可を与えたい場合

Discussion