Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、Key Management Serviceのアクセス権を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。
Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountに関する詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。
2023年11月23日を基準に Key Management Serviceで独自で提供していたキー権限管理機能は Sub Accountを使った詳細権限管理を通じて行うように変更されます。**従来利用中のロールベースのキー権限は同じレベルのポリシーにマイグレーションされます。**詳細は、ロールベース権限のマイグレーションをご参照ください。
マネージド(System Managed)ポリシー
マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントにマネージドポリシーを付与すると、権限を付与されたサブアカウントは Key Management Serviceを利用できるようになります。Key Management Serviceのマネージドポリシーについての簡単な説明は、次の通りです。
| ポリシー名 | ポリシーの説明 |
|---|---|
| NCP_ADMINISTRATOR | メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限 |
| NCP_INFRA_MANAGER | すべてのサービスにアクセスできるものの、コンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみアクセスが制限された権限 |
| NCP_FINANCE_MANAGER | Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限 |
| NCP_KMS_MANAGER | Key Management Serviceのすべての機能が利用できる権限 |
| NCP_KMS_VIEWER | Key Management Serviceの照会機能のみ利用できる権限 |
ユーザー定義(User Created)ポリシー
ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。Key Management Serviceのユーザー定義ポリシーについての簡単な説明は、次の通りです。
トークンアクション
暗号機能を使用するためのトークン関連アクションとその説明は、次の通りです。
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
|---|---|---|---|---|---|
| Change | Change/createTokenGenerator | View/getKeyList View/getKeyInfo |
Key | Key Management Service | トークンを作成するためのメタデータの作成 |
| Change | Change/createToken | View/getKeyList View/getKeyInfo |
Key | Key Management Service | 暗号機能を使用するためのトークンの作成 |
| Change | Change/updateTokenGenerator | View/getKeyList View/getKeyInfo |
Key | Key Management Service | トークンを作成するためのメタデータの初期化 |
| Change | View/validateToken | - | Key | Key Management Service | トークンの検証 |
暗号機能アクション
暗号機能関連アクションとその説明は、次の通りです。
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
|---|---|---|---|---|---|
| View | View/createCustomKey | View/getKeyList View/getKeyInfo |
Key | Key Management Service | RSA、AESキーを使用して任意の対称キーを作成 |
| View | View/sign | View/getKeyList View/getKeyInfo |
Key | Key Management Service | 非対称キーを使用して署名 |
| View | View/verify | View/getKeyList View/getKeyInfo |
Key | Key Management Service | 非対称キーを使用して検証 |
| View | View/decrypt | View/getKeyList View/getKeyInfo |
Key | Key Management Service | (非)対称キーを使用して暗号文を復号化 |
| View | View/encrypt | View/getKeyList View/getKeyInfo |
Key | Key Management Service | (非)対称キーを使用して平文を暗号化 |
| View | View/reEncrypt | View/getKeyList View/getKeyInfo |
Key | Key Management Service | (非)対称キーを使用して暗号文を再暗号化 |
キー管理アクション
キーのライフサイクルを管理するためのアクションとその説明は、次の通りです。
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
|---|---|---|---|---|---|
| View | View/getKeyList | - | - | Key Management Service | View/getKeyInfo権限があるキーのリストを照会 |
| View | View/getKeyInfo | View/getKeyList | Key | Key Management Service | キーの詳細情報を照会 |
| View | View/getLastUseInfo | View/getKeyList View/getKeyInfo |
Key | Key Management Service | 現在のキーの最後の使用情報を照会 |
| View | View/getAclRuleList | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーの暗号機能の ACLリストを照会 |
| View | View/getPubKey | View/getKeyList View/getKeyInfo |
Key | Key Management Service | RSA、ECDSAのパブリックキーを照会 |
| View | View/getActivityList | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーの履歴を照会 |
| Change | Change/updateMemo | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーのメモを変更 |
| Change | Change/updateRotationPeriod | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーローテーションの周期を変更 |
| Change | Change/enableAutoRotation | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーの自動ローテーションを有効化 |
| Change | Change/disableAutoRotation | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーの自動ローテーションを無効化 |
| Change | Change/enableKey | View/getKeyList View/getKeyInfo View/getLastUseInfo |
Key | Key Management Service | キーの状態を有効化 |
| Change | Change/disableKey | View/getKeyList View/getKeyInfo View/getLastUseInfo |
Key | Key Management Service | キーの状態を無効化 |
| Change | Change/requestDeletion | View/getKeyList View/getKeyInfo View/getLastUseInfo |
Key | Key Management Service | キー削除をリクエスト |
| Change | Change/cancelDeletion | View/getKeyList View/getKeyInfo View/getLastUseInfo |
Key | Key Management Service | キー削除のリクエストをキャンセル |
| Change | Change/addAclRule | View/getKeyList View/getKeyInfo View/getAclRuleList |
Key | Key Management Service | キー暗号機能の ACLを追加 |
| Change | Change/deleteAclRule | View/getKeyList View/getKeyInfo View/getAclRuleList |
Key | Key Management Service | キー暗号機能の ACLを削除 |
| Change | Change/updateAclConfig | View/getKeyList View/getKeyInfo View/getAclRuleList |
Key | Key Management Service | キー暗号機能の ACL設定の変更 |
| Change | Change/createKey | View/getKeyList | - | Key Management Service | キーの作成 |
| Change | Change/rotateKey | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーの更新 |
| Change | Change/deleteKey | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーの削除 |
| Change | Change/enableVersion | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーのバージョン状態を有効化 |
| Change | Change/disableVersion | View/getKeyList View/getKeyInfo |
Key | Key Management Service | キーのバージョン状態を無効化 |
| Change | Change/subscribeKms | - | - | Key Management Service | Key Management Serviceご利用の申し込み |
| Change | Change/unsubscribeKms | - | - | Key Management Service | Key Management Serviceを解約する |
キー登録アクション
顧客のマスターキーを使用するためのアクションとその説明は、次の通りです。
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
|---|---|---|---|---|---|
| View | View/getKeySubscriptionList | - | Key | Key Management Service | NAVERクラウドプラットフォームサービスがキー連携リストを照会 |
| View | View/getKeySubscriptionInfo | View/getKeySubscriptionList | Key | Key Management Service | NAVERクラウドプラットフォームサービスがキー連携情報の詳細を照会 |
| Change | Change/createKeySubscription | View/getKeyList View/getKeyInfo View/getKeySubscriptio$nList View/getKeySubscriptionInfo Change/deleteKeySubscription |
Key | Key Management Service | NAVERクラウドプラットフォームサービスのキー連携を許可 |
| Change | Change/deleteKeySubscription | View/getKeyList View/getKeyInfo View/getKeySubscriptionList View/getKeySubscriptionInfo Change/createKeySubscription |
Key | Key Management Service | NAVERクラウドプラットフォームサービスのキー連携の解除を許可 |
特定のアクションに対する権限が付与されたとしても、関連する必須アクションに対する権限が一緒に付与されていない場合、タスクは正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与する機能を提供します。ただし、自動的に一緒に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際はご注意ください。
ロールベース権限のマイグレーション
既存の Key Management Serviceで提供していた [権限管理] 機能は Sub Accountのポリシー(Policy)機能に統合されます。運用中のキーの Key Manager、Key Encryptor、Key Decryptor、Key Encryptor and Decryptor、Key Reviewerの5つのロールは、同じレベルの権限を持つポリシーに自動マイグレーションされます。マイグレーションされるポリシーは以下のような権限を持っています。
| ロール名 | マイグレーションされるポリシー名 | マイグレーションされる権限 |
|---|---|---|
| Key Manager | KMS_KEY_MGR-{Key Id} | View*, Change* |
| Key Encryptor | KMS_KEY_ENC-{Key Id} | View/getKeyList, View/getKeyInfo, Change/encrypt, Change/reEncrypt, Change/createCustomKey, Change/sign |
| Key Decryptor | KMS_KEY_DEC-{Key Id} | View/getKeyList, View/getKeyInfo, Change/decrypt, Change/verify |
| Key Encryptor and Decryptor | KMS_KEY_ENC_DEC-{Key Id} | View/getKeyList, View/getKeyInfo, Change/encrypt, Change/reEncrypt, Change/createCustomKey, Change/sign, Change/decrypt, Change/verify |
| Key Reviewer | KMS_KEY_RVR-{Key Id} | View/getKeyList, View/getKeyInfo, View/getActivityList |
マイグレーションされるポリシーは NAVERクラウドプラットフォームコンソールで、
> Services > Management & Governance > Sub Account > Policiesメニューの [ユーザー定義ポリシー] タブで確認できます。
