クロスアカウントユーザーがカスタム AWS KMS キーで暗号化された S3 オブジェクトにアクセスしようとするときに Access Denied エラーが発生するのはなぜですか?

最終更新日: 2021 年 8 月 27 日

Amazon Simple Storage Service (Amazon S3) バケットは、カスタム AWS Key Management Service (AWS KMS) キーで暗号化されています。他の AWS アカウントのユーザーがバケットのオブジェクトにアクセスしようとすると、アクセス拒否エラーが発生します。どうすれば解決できますか?

簡単な説明

アカウント A の AWS KMS 暗号化バケットへのアクセスをアカウント B のユーザーに許可するには、次のアクセス許可を設定している必要があります。

  • アカウント A のバケットポリシーは、アカウント B へのアクセスを許可する必要があります。
  • アカウント A の AWS KMS キーポリシーは、アカウント B のユーザーにアクセスを許可する必要があります。
  • アカウント B の AWS Identity and Access Management (IAM) ポリシーは、アカウント A のバケットとキーの両方へのアクセスをユーザーに許可する必要があります。

Access Denied エラーのトラブルシューティングを行うには、これらの許可が正しく設定されていることを確認してください。

警告: AWS が管理する AWS KMS キー (KMS キー) ポリシーは、読み取り専用であることから変更できません。ただし、AWS マネージド KMS キーポリシーとカスタマーマネージド KMS キーポリシーは、どちらも常に表示可能です。AWS マネージド KMS キーポリシーは更新できないため、これらのキーポリシーについてクロスアカウント許可を付与することもできません。さらに、AWS マネージド KMS キーを使用して暗号化されたオブジェクトに、他の AWS アカウントからアクセスすることはできません。カスタマーマネージド KMS キーポリシーについては、ポリシーを作成した AWS アカウントからのみキーポリシーを変更できます。

解決方法

アカウント A のバケットポリシーは、アカウント B のユーザーにアクセスを許可する必要があります

アカウント A からバケットポリシーをチェックし、アカウント B のアカウント ID からのアクセスを許可するステートメントがあることを確認します。

たとえば、このバケットポリシーでは、s3:GetObject がアカウントID 111122223333 にアクセスできます。

{
  "Id": "ExamplePolicy1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
      "Principal": {
        "AWS": [
          "111122223333"
        ]
      }
    }
  ]
}

アカウント A の AWS KMS キーポリシーは、アカウント B のユーザーにアクセスを許可する必要があります

AWS KMS キーポリシーは、アカウント B のユーザーに kms:Decrypt アクションへの許可を付与する必要があります。例えば、1 つの IAM ユーザーまたはロールにのみキーアクセスを付与する場合、キーポリシーステートメントは次のようになります。

{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::111122223333:role/role_name"
        ]
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

アカウント A から AWS マネジメントコンソールのポリシービューを使用して、キーポリシーを確認します。キーポリシー内で "Sid": "Allow use of the key" を探します。次に、アカウント B のユーザーがそのステートメントのプリンシパルとしてリストされていることを確認します。

"Sid": "Allow use of the key" というステートメントが表示されない場合は、コンソールのデフォルトビューを使用して、キーポリシーを表示するように切り替えます。次に、アカウント B のアカウント ID を、キーにアクセスできる外部アカウントとして追加します。

アカウント B の IAM ユーザーポリシーは、アカウント A のバケットとキーの両方へのアクセスをユーザーに許可する必要があります

アカウント B から、次の手順を実行します。

1.    IAM コンソールを開きます。

2.    アカウント B で、そのユーザーに関連付けられた IAM ユーザーまたはロールを開きます。

3.    IAM ユーザーまたはロールに適用されている許可ポリシーのリストを確認します。

4.    バケットとキーの両方へのアクセスを付与するポリシーが適用されていることを確認します。

注: アカウント B の IAM ユーザーまたはロールに既に管理者アクセス権がある場合は、キーへのアクセスを付与する必要はありません。

次のポリシー例では、アカウント B の IAM ユーザーに、オブジェクトおよび (バケットのオブジェクトを復号化するための) KMS キーへのアクセスを許可しています。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "ExampleStmt1",
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        },
        {
            "Sid": "ExampleStmt2",
            "Action": [
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

注意:

  • アカウント A のバケットポリシーは、アカウント B へのアクセスを許可する必要があります。
  • アカウント A の AWS KMS キーは、アカウント A のバケットと同じリージョンに存在する必要があります。
  • アカウント A の AWS KMS キーポリシーは、アカウント B のユーザーにアクセスを許可する必要があります。
  • アカウント B の IAM ポリシーは、アカウント A のバケットとキーの両方へのアクセスをユーザーに許可する必要があります。

IAM ユーザーのアクセス権限を追加または修正する方法については、IAM ユーザーのアクセス権限の変更をご参照ください。

AWS Policy Generator

この記事はお役に立ちましたか?

フィードバックを送信

請求に関するサポートまたは技術サポートが必要ですか?

AWS Support へのお問い合わせ