はじめに 前提条件 KMS クロスアカウント復号の仕組み 検証の構成 セットアップ ①KMS key 作成 ② 適当な文字列の暗号化 ③(オプション)CloudShell 用 IAM ユーザ作成 動作確認 付録 KMS Key 用 Cfn テンプレート はじめに 最近、巷でマルチアカウント構成が流行ってるということで、マルチアカウント環境を前提とした KMS のクロスアカウントアクセスによる復号を試します。 前提条件 マルチアカウント環境を前提とします。本記事では便宜上、各アカウントを以下呼称とします。 MasterAccount MemberAccount KMS クロスアカウント復号の仕組み KMS に対する操作権限は以下 2 つのポリシーで制御します。 IAM ポリシー KMS key ポリシー 両方でアクセス許可されている時に、KMS のクロスアカウントアクセスが可能となります。
![AWS KMS でクロスアカウント復号してみる - サーバーワークスエンジニアブログ](https://cdn-ak-scissors.b.st-hatena.com/image/square/3c081e48529a050419639f956d88a6279e4f4fc4/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fs%2Fswx-sugaya%2F20220201%2F20220201125930.png)