KMS のキーポリシーで定義したIAMユーザが “AIDA~” で始まる文字列になったので、削除して良いか教えてください

この記事は アノテーション株式会社 AWS Technical Support Advent Calendar 2023 | Advent Calendar 2023 - Qiita 4日目の記事です。

困っていた内容

IAM ユーザーを削除後に、KMS のキーポリシーで設定していた IAM ユーザー名(arn)が、"AIDA~" で始まる文字列に置き換わっていることに気づきました。

• IAM ユーザー削除前の KMS キーポリシー(抜粋)

"Principal": {
  "AWS": "arn:aws:iam::111122223333:user/test-user"
}

• IAM ユーザー削除後の KMS キーポリシー(抜粋)

"Principal": {
  "AWS": "AIDAABCDEFGHI1JKLM2NO"
}

このキーポリシーの "AIDA~" で始まる文字列は削除しても、KMS が使用できなくなる等の問題がないか教えてください。

どう対応すればいいの?

KMS のキーポリシーにて、"AIDA~" で始まる文字列を削除しても KMS が使用できない等の問題はありません。

そのため、ご自身のタイミングで削除をご検討頂ければ幸いです。

補足

"AIDA~" で始まる文字列は、IAM がユーザー、ユーザーグループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書を作成するときに、各リソースに割り当てられる一意の ID となります。

IAM ID - AWS Identity and Access Management

IAM がユーザー、ユーザーグループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書を作成するとき、各リソースには一意の ID が割り当てられます。一意の ID は次のようになります。

AIDAJQABLZS4A3QDU576Q

もし、IAM　ユーザーのユーザー名のままで KMS のキーポリシーに設定が残ってしまった場合、次に同じ IAM ユーザー名が作成された場合に、削除された (旧)IAM ユーザーがアクセスできていたリソースにアクセスができてしまう状況が発生します。

この状況を防ぐため、セキュリティの観点から IAM にて各リソースに一意の ID を割り当てられています。

詳細につきましては、ご案内した AWS 公式ドキュメントをご参照ください。

参考資料

• IAM ID - AWS Identity and Access Management

• AWS KMS のキーポリシー - AWS Key Management Service