この記事は アノテーション株式会社 AWS Technical Support Advent Calendar 2023 | Advent Calendar 2023 - Qiita 4日目の記事です。
困っていた内容
IAM ユーザーを削除後に、KMS のキーポリシーで設定していた IAM ユーザー名(arn)が、"AIDA~" で始まる文字列に置き換わっていることに気づきました。
- IAM ユーザー削除前の KMS キーポリシー(抜粋)
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/test-user"
}- IAM ユーザー削除後の KMS キーポリシー(抜粋)
"Principal": {
"AWS": "AIDAABCDEFGHI1JKLM2NO"
}このキーポリシーの "AIDA~" で始まる文字列は削除しても、KMS が使用できなくなる等の問題がないか教えてください。
どう対応すればいいの?
KMS のキーポリシーにて、"AIDA~" で始まる文字列を削除しても KMS が使用できない等の問題はありません。
そのため、ご自身のタイミングで削除をご検討頂ければ幸いです。
補足
"AIDA~" で始まる文字列は、IAM がユーザー、ユーザーグループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書を作成するときに、各リソースに割り当てられる一意の ID となります。
IAM ID - AWS Identity and Access Management
IAM がユーザー、ユーザーグループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書を作成するとき、各リソースには一意の ID が割り当てられます。一意の ID は次のようになります。
AIDAJQABLZS4A3QDU576Q
もし、IAM ユーザーのユーザー名のままで KMS のキーポリシーに設定が残ってしまった場合、次に同じ IAM ユーザー名が作成された場合に、削除された (旧)IAM ユーザーがアクセスできていたリソースにアクセスができてしまう状況が発生します。
この状況を防ぐため、セキュリティの観点から IAM にて各リソースに一意の ID を割り当てられています。
詳細につきましては、ご案内した AWS 公式ドキュメントをご参照ください。
0
