TL; DR AWSのKMSのキーポリシーで暗号化/復号化の権限付与する対象のPrincipalにIAMユーザとIAMロールは指定できるのに、なぜだかIAMグループは指定できない。 IAMグループで管理するにはKMSのキーポリシーでIAMポリシーを有効化するように設定し、別途IAMポリシーをIAMグループに付与することでIAMグループ単位での制御が可能となる キーポリシー { "Version": "2012-10-17", "Id": "key-consolepolicy-2", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resour