キーおよび資格情報でサポートされる条件キーについて - Key Management Service

条件は、権限付与が有効になる際の制限事項を指定します。Key Management Service (KMS) へのアクセス制御に、キーポリシー、資格情報ポリシー、Resource Access Management (RAM) カスタムポリシー内で条件キーを使用できます。このトピックでは、Alibaba Cloud の汎用条件キーと KMS 固有の条件キーについて説明します。

説明

Principal フィールドは、キーポリシーおよび資格情報ポリシーでは必須です。RAM カスタムポリシーを使用する場合は、このフィールドを設定する必要はありません。

Alibaba Cloud 汎用条件キー

acs:SourceIp

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

acs:SourceIp

リクエストを送信するクライアントのパブリック IP アドレス。

文字列

すべての KMS OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。

IP アドレス。例：

"126.34.XX.XX"
"2001:0db8:85a3:0000:0000:8a2e:XXXX:XXXX"

RAM カスタムポリシー
キーポリシー
資格情報ポリシー

RAM ポリシーの例

116.62.XX.XX/24 の IP アドレス範囲からのリクエストの場合にのみ、データキーを生成できます。

{
    "Statement": [
        {
            "Action": "kms:GenerateDataKey",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": "116.62.XX.XX/24"
                }
            }
        }
    ],
    "Version": "1"
}

キー / 資格情報ポリシーの例

IP アドレス 203.0.XX.XX からの RAM ユーザー ramuser1 のみがアクセスを許可されます。

{
	"Version":"1",
	"Statement":[
		{
			"Sid":"kms policy",
			"Effect":"Allow",
			"Action":"kms:*",
			"Principal":{
				"RAM":[
					"acs:ram::1192853035****:user/ramuser1"
				]
			},
			"Resource":"*",
			"Condition":{
				"IpAddress":{
					"acs:SourceIp":[
						"203.0.XX.XX"
					]
				}
			}
		}
	]
}

acs:SourceVpc

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
acs:SourceVpc	リクエストを送信するクライアントが属する VPC。この条件キーは、Alibaba Cloud VPC からリクエストが送信された場合にのみ有効です。	文字列	すべての KMS OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。	VPC の ID。例：vpc-bp1717bgs34gj****。	RAM カスタムポリシーキーポリシー資格情報ポリシー

制限事項：

ポリシーの Statement フィールド内のすべての操作は、kms: で始まる必要があります。例："Action":"kms:*"、"Action":"kms:GenerateDataKey"。"Action":"*" および "Action":"k*" は無効です。

この条件キーは一部のリージョンでのみサポートされています。

acs:SourceVpc をサポートするリージョン

パブリッククラウド

リージョン分類	サポート対象リージョン
中国	中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (成都)、中国 (香港)
その他の国と地域	マレーシア (クアラルンプール)、日本 (東京)、ドイツ (フランクフルト)、米国 (バージニア)、米国 (シリコンバレー)、インドネシア (ジャカルタ)、イギリス (ロンドン)、フィリピン (マニラ)、シンガポール、韓国 (ソウル)、タイ (バンコク)

キー / 資格情報ポリシーの例：vpc-bp1l8j1t3l3j5**** からの RAM ユーザー ramuser1 のみがアクセスを許可されます。

{
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:SourceVpc": [
                        "vpc-bp1l8j1t3l3j5****"
                    ]
                }
            }
        }
    ]
}

acs:VpcSourceIp

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

acs:VpcSourceIp

リクエストを送信するクライアントの IP アドレス。この条件キーは、Alibaba Cloud VPC からリクエストが送信された場合にのみ有効です。

文字列

すべての KMS OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。

VPC 内の IP アドレス。例：

"126.34.XX.XX"
"2001:0db8:85a3:0000:0000:8a2e:XXXX:XXXX"

RAM カスタムポリシー
キーポリシー
資格情報ポリシー

制限事項：この条件キーは一部のリージョンでのみサポートされています。

acs:VpcSourceIp をサポートするリージョン

パブリッククラウド

リージョン分類	サポート対象リージョン
中国	中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (成都)、中国 (香港)
その他の国と地域	マレーシア (クアラルンプール)、日本 (東京)、ドイツ (フランクフルト)、米国 (バージニア)、米国 (シリコンバレー)、インドネシア (ジャカルタ)、イギリス (ロンドン)、フィリピン (マニラ)、シンガポール、韓国 (ソウル)、タイ (バンコク)

RAM ポリシーの例

vpc-bp1717bghfnkqg5wn**** 内の 172.168.XX.XX/24 CIDR ブロックからのリクエストのみが許可されます。

{
    "Statement": [
        {
            "Action": "kms:GenerateDataKey",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:SourceVpc": "vpc-bp1717bghfnkqg5wn****"
                },
                "IpAddress": {
                    "acs:VpcSourceIp": "172.168.**.**/24"
                }
            }
        }
    ],
    "Version": "1"
}

キー / 資格情報ポリシーの例

VPC の IP アドレス 192.168.XX.XX からの RAM ユーザー ramuser1 のみがアクセスを許可されます。

{
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:VpcSourceIp": [
                        "192.168.XX.XX"
                    ]
                }
            }
        }
    ]
}

acs:SecureTransport

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
acs:SecureTransport	リクエストがセキュアチャネル (HTTPS) 経由で送信されているかどうかを示します。	ブール値	すべての KMS OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。	true false	RAM カスタムポリシーキーポリシー資格情報ポリシー

RAM ポリシーの例

リクエストが HTTPS 経由で送信されている場合に限り、すべての KMS リソースに対して任意の操作を実行できます。

       {
         "Version": "1",
         "Statement": [
           {
             "Effect": "Allow",
             "Action": "kms:*",
             "Resource": "*",
             "Condition": {
               "Bool": {
                 "acs:SecureTransport": "true"
               }
             }
           }
         ]
       }

キー / 資格情報ポリシーの例

HTTPS セキュアチャネル経由でのみ、RAM ユーザー ramuser1 のアクセスが許可されます。

{
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:SecureTransport": "true"
                }
            }
        }
    ]
}

acs:CurrentTime

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

acs:CurrentTime

サーバー側でリクエストを受信した時刻。

日時

すべての KMS OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。

時刻は UTC で、ISO 8601 標準に従う必要があります。

例：2024 年 1 月 10 日 20:00:00 (UTC + 08:00) は、2024-01-10T20:00:00+08:00 または 2024-01-10T12:00:00Z と表されます。

RAM カスタムポリシー
キーポリシー
資格情報ポリシー

キー / 資格情報ポリシーの例：2099-12-31T12:00:00Z より前の場合に限り、RAM ユーザー ramuser1 のアクセスが許可されます。

{
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2099-12-31T12:00:00Z"
                }
            }
        }
    ]
}

acs:MFAPresent

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
acs:MFAPresent	ログイン時に多要素認証 (MFA) が使用されているかどうかを示します。	ブール値	すべての KMS OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。	true false	RAM カスタムポリシーキーポリシー資格情報ポリシー

キー / 資格情報ポリシーの例：MFA が有効になっている場合に限り、RAM ユーザー ramuser1 のアクセスが許可されます。

{
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent": [
                        "true"
                    ]
                }
            }
        }
    ]
}

KMS プロダクト条件キー (キー関連)

kms:tag

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:tag	キーのタグに基づいて API 操作へのアクセスをフィルタリングします。	文字列	Encrypt Decrypt ReEncrypt ExportDataKey GenerateDataKey GenerateDataKeyWithoutPlaintext GenerateAndExportDataKey AsymmetricDecrypt AsymmetricEncrypt AsymmetricSign AsymmetricVerify GetPublicKey DescribeKey UpdateKeyDescription EnableKey DisableKey CancelKeyDeletion ScheduleKeyDeletion ImportKeyMaterial GetParametersForImport DeleteKeyMaterial CreateKeyVersion DescribeKeyVersion ListKeyVersions UpdateRotationPolicy SetDeletionProtection	カスタムキータグ。	RAM カスタムポリシーキーポリシー資格情報ポリシー

kms:EncryptionAlgorithm

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:EncryptionAlgorithm

リクエスト内の暗号化アルゴリズムに基づいて暗号化操作へのアクセスをフィルタリングします。

文字列

Decrypt
Encrypt
GenerateDataKey
GenerateDataKeyWithoutPlaintext
ReEncrypt
AsymmetricDecrypt
AsymmetricEncrypt
ExportDataKey
GenerateAndExportDataKey

暗号化アルゴリズム（例：SYMMETRIC_DEFAULT、RSAES_OAEP_SHA_256、ECIES_DH_SHA_1_XOR_HMAC）。

KMS がサポートする暗号化アルゴリズムの詳細については、「キー管理タイプとキー仕様」をご参照ください。

RAM カスタムポリシー
キーポリシー

たとえば、次の例では、Resource Access Management (RAM) ユーザー key_ramuser1 のみが RSAES-OAEP-SHA-256 アルゴリズムを使用して暗号化、復号、または再暗号化を実行できます。これにより、暗号鍵の使用におけるセキュリティとコンプライアンスが強化され、指定された暗号化アルゴリズムのみが使用されることを保証し、非準拠または安全でない暗号化アルゴリズムの誤用を防止します。

{
  "Sid": "Allow only one encryption algorithm with this asymmetric KMS key",
  "Effect": "Deny",
  "Principal": {
          "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser1"
                ]
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "kms:EncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    }
  }
}

kms:EncryptionContext:${EncryptionContextKey}

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:EncryptionContext:${EncryptionContextKey}

暗号化操作における暗号化コンテキストに基づいて、KMS 対称キーへのアクセスをフィルタリングします。

この条件は、暗号化コンテキストの各キーと値のペアのキーおよび値を評価します。

文字列

Decrypt
Encrypt
GenerateDataKey
GenerateDataKeyWithoutPlaintext
ExportDataKey
GenerateAndExportDataKey

カスタム暗号化コンテキスト。

RAM カスタムポリシー
キーポリシー

次の例では、Alibaba Cloud アカウント 119285303511**** 下のすべての RAM ユーザーが、kms:EncryptionContext 内の Project の値が ProjectA の場合に kms:GenerateDataKey 操作を実行できます。

{
 "Effect": "Allow",
 "Principal": {
	 "RAM": [
	 "acs:ram::119285303511****:*"
	 ]
	},
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
 "StringEquals": {
 "kms:EncryptionContext:Project": "ProjectA"
 }
 }
}

kms:EncryptionContextKeys

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:EncryptionContextKeys

暗号化操作における暗号化コンテキストに基づいて、KMS 対称キーへのアクセスをフィルタリングします。

暗号化コンテキストのキーと値のペアのキーのみをフィルタリングします。

文字列の配列

Decrypt
Encrypt
GenerateDataKey
GenerateDataKeyWithoutPlaintext
ExportDataKey
GenerateAndExportDataKey

暗号化コンテキストのキーと値のペアからカスタムキー。

キーポリシー

次の例では、Alibaba Cloud アカウント 119285303511**** 下のすべての RAM ユーザーが、暗号化コンテキストに Project という名前のキーが含まれている場合に kms:GenerateDataKey 操作を実行できます。

{
 "Effect": "Allow",
 "Principal": {
	 "RAM": [
	 "acs:ram::119285303511****:*"
	 ]
	},
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
 "StringEquals": {
 "kms:EncryptionContextKeys": "Project"
 }
 }
}

kms:ExpirationModel

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:ExpirationModel	リクエスト内の ExpirationModel パラメーターの値に基づいて ImportKeyMaterial 操作へのアクセスをフィルタリングします。	文字列	ImportKeyMaterial	KEY_MATERIAL_DOES_NOT_EXPIRE：キーマテリアルが有効期限切れにならない。 KEY_MATERIAL_EXPIRES：キーマテリアルが有効期限切れになる。	RAM カスタムポリシーキーポリシー

次の例では、Alibaba Cloud アカウント 119285303511**** 下のすべての RAM ユーザーが、キーマテリアルの有効期限モデルが KEY_MATERIAL_DOES_NOT_EXPIRE の場合にのみ kms:ImportKeyMaterial 操作を実行できます。

{
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE"
    }
  }
}

kms:ValidTo

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:ValidTo

リクエスト内の ValidTo パラメーターの値に基づいて ImportKeyMaterial 操作へのアクセスをフィルタリングします。

この条件キーを使用すると、ユーザーが指定された日付に有効期限が切れるキーマテリアルのみをインポートできるように制限できます。

日付

ImportKeyMaterial

UNIX タイムスタンプ形式

RAM カスタムポリシー
キーポリシー

次の例では、Alibaba Cloud アカウント 119285303511**** 下のすべての RAM ユーザーが、2024 年 6 月 20 日より前にのみキーマテリアルをインポートできます。

{
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "NumericLessThanEquals": {
      "kms:ValidTo": "1718841600"
    }
  }
}

kms:KeyOrigin

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:KeyOrigin

操作で作成または使用される KMS キーの Origin プロパティに基づいて API 操作へのアクセスをフィルタリングします。

CreateKey 操作の権限付与や、KMS キーリソースに対する権限付与を行う任意の操作の権限を制限するために使用できます。

文字列

すべてのキー関連 OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。

Aliyun_KMS
EXTERNAL
KmsInstance

RAM カスタムポリシー
キーポリシー

kms:KeySpec

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:KeySpec

操作で作成または使用される KMS キーの KeySpec プロパティに基づいて API 操作へのアクセスをフィルタリングします。

文字列

すべてのキー関連 OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。

キー仕様（例：Aliyun_AES_256、RSA_2048）。

KMS がサポートするキー仕様の詳細については、「キー管理タイプとキー仕様」をご参照ください。

RAM カスタムポリシー
キーポリシー

次の例では、Alibaba Cloud アカウント 119285303511**** 下のすべての RAM ユーザーおよび RAM ロールが kms:CreateKey 操作を実行できますが、RSA キーの作成に限定されます。

{
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:KeySpec": "RSA_*"
    }
  }
}

kms:KeyUsage

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:KeyUsage	操作で作成または使用される KMS キーの KeyUsage プロパティに基づいて API 操作へのアクセスをフィルタリングします。	文字列	すべてのキー関連 OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。	ENCRYPT_DECRYPT：暗号化および復号 SIGN_VERIFY：署名および署名検証	RAM カスタムポリシーキーポリシー

次の例では、kms:CreateKey 操作が許可されますが、ENCRYPT_DECRYPT 目的のキーの作成に限定されます。

{
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KeyUsage": "ENCRYPT_DECRYPT"
    }
  }
}

kms:ScheduleKeyDeletionPendingWindowInDays

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:ScheduleKeyDeletionPendingWindowInDays	リクエスト内の PendingWindowInDays パラメーターの値に基づいて ScheduleKeyDeletion 操作へのアクセスをフィルタリングします。	数値	ScheduleKeyDeletion	キーのスケジュールされた削除期間（日数単位）。	RAM カスタムポリシーキーポリシー

次の例では、スケジュールされた削除期間が 21 日以下の場合、すべてのユーザーおよびロールが kms:ScheduleKeyDeletion 操作を実行する権限が拒否されます。

{
  "Effect": "Deny",
  "Action": "kms:ScheduleKeyDeletion",
  "Principal": "*",
  "Resource": "*",
  "Condition": {
    "NumericLessThanEquals": {
      "kms:ScheduleKeyDeletionPendingWindowInDays": "21"
    }
  }
}

kms:SigningAlgorithm

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:SigningAlgorithm

リクエスト内の署名アルゴリズムに基づいて Sign 操作および Verify 操作へのアクセスをフィルタリングします。

文字列

AsymmetricSign
AsymmetricVerify

署名アルゴリズム（例：RSA_PSS_SHA_256、ECDSA_SHA_256）。

サポートされている署名アルゴリズムの一覧については、「キー管理タイプとキー仕様」をご参照ください。

RAM カスタムポリシー
キーポリシー

kms:WrappingAlgorithm

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:WrappingAlgorithm

リクエスト内の WrappingAlgorithm パラメーターの値に基づいて GetParametersForImport 操作へのアクセスをフィルタリングします。

文字列

GetParametersForImport

ラッピングアルゴリズム。

KMS がサポートするラッピングアルゴリズムの詳細については、「対称キーマテリアルのインポート」および「非対称キーマテリアルのインポート」をご参照ください。

RAM カスタムポリシー
キーポリシー

kms:WrappingKeySpec

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:WrappingKeySpec

リクエスト内の WrappingKeySpec パラメーターの値に基づいて GetParametersForImport 操作へのアクセスをフィルタリングします。

文字列

GetParametersForImport

ラッピング公開鍵のタイプ。

KMS がサポートするラッピング公開鍵タイプの詳細については、「対称キーマテリアルのインポート」および「非対称キーマテリアルのインポート」をご参照ください。

RAM カスタムポリシー
キーポリシー

kms:KmsInstanceId

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:KmsInstanceId

リクエストに関連付けられた KMS インスタンスの ID に基づいてアクセス権限を制御します。

文字列

暗号化操作：

ReEncrypt
Encrypt
Decrypt
GenerateDatakey
AsymmetricDecrypt
AsymmetricSign
AsymmetricEncrypt
AsymmetricVerify
GetPublicKey

管理 API：

CreateKey
updateKeyDescription
EnableKey
DisableKey
scheduleKeyDeletion
createAlias
updateAlias
deleteAlias
listAliasByKeyId
getParametersForImport
importKeyMaterial
deleteKeyMaterial
createKeyVersion
describeKeyVersion
listKeyVersions

タグ API：

TagResource
UnTagResource
ListResourceTags

インスタンス ID

RAM カスタムポリシー
キーポリシー

例：

RAM カスタムポリシー

{
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

キーポリシー

{
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

kms:RecipientAttestation

条件キー	説明	条件オペレーターのタイプ	API 操作
kms:RecipientAttestation:PCR8	エンクレーブランタイムイメージファイルのメジャー。	文字列	以下のすべての条件が満たされた場合にのみ、権限付与が有効になります。指定された操作：GenerateDataKey およびDecrypt。指定されたエンドポイント：専用ゲートウェイエンドポイント (KMS インスタンスエンドポイントとも呼ばれます)。
kms:RecipientAttestation:PCR9	カーネルおよびブートローダーのメジャー。
kms:RecipientAttestation:PCR11	アプリケーションメトリック。

例：

RAM カスタムポリシー

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "acs:kms:cn-hangzhou:119******460:key/key-hzz******sg5",
      "Condition": {
        "StringEquals": {
          "kms:RecipientAttestation:PCR8": "300705e44da926d8ec85bb7e840******710f303e22de0869a",
          "kms:RecipientAttestation:PCR9": "b5753ad8242e1c3b8150caf7098f******440bef5401e02575",
          "kms:RecipientAttestation:PCR11": "f9189a4331f1d4ba93d77672401******04a19be1b4d4a5de"
        }
      }
    }
  ]
}

キーポリシー

{
    "Statement": [
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119*******460:*"
                ]
            },
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:RecipientAttestation:PCR8": "f193c1e72c226a2212d4d8865964239******ca6f02f79ea85e91af"
                }
            },
            "Sid": "kms default key policy"
        }
    ],
    "Version": "1"
}

KMS プロダクト条件キー (資格情報関連)

kms:tag

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:tag	資格情報のタグに基づいて API 操作へのアクセスをフィルタリングします。	文字列	DescribeSecret GetSecretValue PutSecretValue UpdateSecret UpdateSecretVersionStage RestoreSecret ListSecretVersionIds RotateSecret UpdateSecretRotationPolicy DeleteSecret	カスタム資格情報タグ。	RAM カスタムポリシー資格情報ポリシーキーポリシー

kms:SecretName

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:SecretName	リクエスト内の SecretName の値に基づいて API 操作へのアクセスをフィルタリングします。	文字列	すべての資格情報関連 OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。	カスタム資格情報名。	RAM カスタムポリシー資格情報ポリシー

kms:EncryptionKeyId

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:EncryptionKeyId	資格情報アクセスリクエスト内の暗号鍵の ID に基づいて API 操作へのアクセスをフィルタリングします。	文字列	CreateSecret GetSecretValue PutSecretValue	キー ID。	RAM カスタムポリシー資格情報ポリシー

kms:SecretVersionId

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:SecretVersionId	リクエスト内の資格情報バージョンのユニーク識別子に基づいて API 操作へのアクセスをフィルタリングします。	文字列	GetSecretValue PutSecretValue	資格情報のバージョン番号。	RAM カスタムポリシー資格情報ポリシー

kms:SecretVersionStage

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:SecretVersionStage	リクエスト内の資格情報バージョンステージに基づいて API 操作へのアクセスをフィルタリングします。	文字列	GetSecretValue UpdateSecretVersionStage	ACSCurrent ACSPrevious カスタム資格情報バージョンのステータス	RAM カスタムポリシー資格情報ポリシー

kms:SecretType

条件キー

説明

条件オペレーターのタイプ

API 操作

値の範囲

ポリシータイプ

kms:SecretType

リクエスト内の資格情報タイプに基づいて API 操作へのアクセスをフィルタリングします。

文字列

すべての資格情報関連 OpenAPI 操作。操作の一覧については、「API 概要」をご参照ください。

Generic：汎用シークレット。
Rds：RDS 資格情報。
RAMCredentials：RAM 資格情報。
ECS：ECS 資格情報。
Redis：Redis 資格情報。

RAM カスタムポリシー
資格情報ポリシー

kms:ForceDeleteWithoutRecovery

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:ForceDeleteWithoutRecovery	回復を許可せずに資格情報を強制削除するかどうかを示します。	ブール値	DeleteSecret	true false	RAM カスタムポリシー資格情報ポリシー

kms:RecoveryWindowInDays

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:RecoveryWindowInDays	回復可能な方法で資格情報を削除し、回復ウィンドウを日数で指定します。	数値	DeleteSecret	日数。	RAM カスタムポリシー資格情報ポリシー

次の例では、指定された回復ウィンドウが 10 日以下の場合、すべてのユーザーおよびロールが kms:DeleteSecret 操作を実行する権限が拒否されます。

{
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "kms:DeleteSecret",
      "Principal": "*",
      "Resource": "*",
      "Condition": {
        "NumericLessThanEquals": {
          "kms:RecoveryWindowInDays": "10"
        }
      }
    }
  ]
}

kms:KmsInstanceId

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:KmsInstanceId	リクエストに関連付けられた KMS インスタンスの ID に基づいてアクセス権限を制御します。	文字列	CreateSecret DescribeSecret UpdateSecret ListSecretsVersionIds RestoreSecret rotateSecret updateSecretRotationPolicy GetSecertValue PutSecretValue UpdateSecretVersionStage DeleteSecret	インスタンス ID	RAM カスタムポリシーキーポリシー

例：

RAM カスタムポリシー

{
  "Effect": "Allow",
  "Action": "kms:CreateSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

キーポリシー

{
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:CreateSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

KMS プロダクト条件キー (その他)

kms:TlsVersion

条件キー	説明	条件オペレーターのタイプ	API 操作	値の範囲	ポリシータイプ
kms:TlsVersion	リクエスト内の TLS バージョンに基づいて API 操作へのアクセスをフィルタリングします。	文字列	認証を必要とするすべての OpenAPI 操作。説明認証を必要としない操作（例：DescribeRegions）。	1.2	RAM カスタムポリシーキーポリシー資格情報ポリシー

次の例では、リクエスト内の TLS バージョンが 1.2 より前の場合、指定されたキーに対するすべての操作が拒否されます。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "kms:*",
            "Resource": "acs:kms:*:*:key/key-hzz653f1f8fybn5qa****",
            "Condition": {
                "NumericLessThan": {
                    "kms:TlsVersion": [
                        "1.2"
                    ]
                }
            }
        }
    ]
}

付録 1：条件オペレーターのタイプ

条件オペレーターは、文字列、数値、日時、ブール値、IP アドレスのカテゴリに分類できます。詳細については、「条件オペレーター」をご参照ください。

条件オペレーションのタイプ	サポートされるタイプ
文字列	StringEquals StringNotEquals StringEqualsIgnoreCase StringNotEqualsIgnoreCase StringLike StringNotLike
数値タイプ	NumericEquals NumericNotEquals NumericLessThan NumericLessThanEquals NumericGreaterThan NumericGreaterThanEquals
日時	DateEquals DateNotEquals DateLessThan DateLessThanEquals DateGreaterThan DateGreaterThanEquals
ブール値	Bool
IP アドレスタイプ	IpAddress NotIpAddress