KMS のキーポリシーで定義したIAMユーザが “AIDA~” で始まる文字列になったので、削除して良いか教えてください

KMS のキーポリシーで定義したIAMユーザが “AIDA~” で始まる文字列になったので、削除して良いか教えてください

Clock Icon2023.12.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

この記事は アノテーション株式会社 AWS Technical Support Advent Calendar 2023 | Advent Calendar 2023 - Qiita 4日目の記事です。

困っていた内容

IAM ユーザーを削除後に、KMS のキーポリシーで設定していた IAM ユーザー名(arn)が、"AIDA~" で始まる文字列に置き換わっていることに気づきました。

  • IAM ユーザー削除前の KMS キーポリシー(抜粋)
"Principal": {
  "AWS": "arn:aws:iam::111122223333:user/test-user"
}
  • IAM ユーザー削除後の KMS キーポリシー(抜粋)
"Principal": {
  "AWS": "AIDAABCDEFGHI1JKLM2NO"
}

このキーポリシーの "AIDA~" で始まる文字列は削除しても、KMS が使用できなくなる等の問題がないか教えてください。

どう対応すればいいの?

KMS のキーポリシーにて、"AIDA~" で始まる文字列を削除しても KMS が使用できない等の問題はありません。

そのため、ご自身のタイミングで削除をご検討頂ければ幸いです。

補足

"AIDA~" で始まる文字列は、IAM がユーザー、ユーザーグループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書を作成するときに、各リソースに割り当てられる一意の ID となります。

IAM ID - AWS Identity and Access Management

IAM がユーザー、ユーザーグループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書を作成するとき、各リソースには一意の ID が割り当てられます。一意の ID は次のようになります。

AIDAJQABLZS4A3QDU576Q

もし、IAM ユーザーのユーザー名のままで KMS のキーポリシーに設定が残ってしまった場合、次に同じ IAM ユーザー名が作成された場合に、削除された (旧)IAM ユーザーがアクセスできていたリソースにアクセスができてしまう状況が発生します。

この状況を防ぐため、セキュリティの観点から IAM にて各リソースに一意の ID を割り当てられています。

詳細につきましては、ご案内した AWS 公式ドキュメントをご参照ください。

参考資料

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.