SSE-KMS を使用して Amazon S3 マルチパートアップロードを実行するときに、AWS KMS キーを復号するアクセス許可が必要なのはなぜですか?

最終更新日: 2019 年 9 月 20 日

Amazon Simple Storage Service (Amazon S3) へのマルチパートアップロードを実行したいと考えています。さらに、AWS Key Management Service (SSE-KMS) に保存されているキーによるサーバー側の暗号化を使用して、マルチパートアップロードを実行したいと考えています。AWS KMS キーに必要な他のアクセス許可の中で、マルチパートアップロードを実行するためにキー (kms:Decrypt) を復号化するアクセス許可が必要なのはなぜですか?  

解決方法

Amazon S3 へのマルチパートアップロードには、マルチパートアップロードの開始、パートのアップロード、およびマルチパートアップロードの完了が含まれます。マルチパートアップロードの完了時に、パートが組み立てられます。

SSE-KMS を使用してマルチパートアップロードを開始すると、アップロードされるすべてのパートは、指定された AWS KMS キーを使用して暗号化されます。パートは暗号化されているため、組み立ててマルチパートアップロードを完了する前に、パートを復号化する必要があります。したがって、SSE-KMS を使用して Amazon S3 にマルチパートアップロードを実行するときは、AWS KMS キー (kms:Decrypt) を復号化するアクセス許可が必要です。

重要: kms:Decrypt に加えて、AWS KMS キーを使用するために必要なすべてのアクセス許可があることを確認します。詳細については、AWS KMS API のアクセス許可: アクションとリソースのリファレンスを参照してください。


この記事は役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合