developersIO
[アップデート] Amazon Verified Permissions ポリシーストアの保管時暗号化にカスタマーマネージドキーが選択できるようになりました

[アップデート] Amazon Verified Permissions ポリシーストアの保管時暗号化にカスタマーマネージドキーが選択できるようになりました

Amazon Verified PermissionsAWS Key Management Service(KMS)AWS
FacebookHatena blogX
2026.01.29

いわさです。

Amazon Verified Permissions ではポリシーストアへポリシーを保存します。
これまでこのサービスは、ポリシーなどのすべてのデータを AWS マネージドキーで自動的に暗号化していました。

先日のアップデートでカスタマーマネージドキーを選択できるようになりました。

ポリシーストア作成時のみ選択が可能

今回のアップデートでポリシーストアに暗号化設定が追加されているのでそこで指定するだけです。

767681F2-596A-44FF-BED5-084861AAA166.png

注意点があって、既存ポリシーストアに対する暗号化キーの変更はできません。新規ポリシーストア作成時のみカスタマーマネージドキーの設定が可能です。
デフォルトは以前からと同じの AWS マネージドキーを使って暗号化されます。
オプションでカスタマーマネージドキーを選択できます。ここでは既存のキーを選択してみましょう。

83E6F773-EED3-413B-B590-357CB465FA35.png

この設定、追加の選択が必要でして、既存のキーをそのまま選択するだけだと次のようにエラーとなります。

AccessDeniedException: Service or caller is not authorized to use the provided KMS key, because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access

CCB1E562-A9FB-4365-B2B4-AA07F7548C85.png

キーポリシーの設定が必要で、Verified Permissions から KMS キーへのアクセスを許可する必要があります。
必要なポリシーは以下の公式ドキュメントに記載されています。

https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/security-data-protection-cmk.html

2397E431-AAF3-42B3-A20D-038D60073014.png

キーポリシー設定後、ポリシーストアが作成できるようになりました。

確認方法

なお、ポリシーストアごとの暗号キー設定ですが本日時点ではマネジメントコンソールからは確認が出来ませんでした。
ただし、AWS CLI であれば確認が可能です。

https://github.com/aws/aws-cli/commit/a220ab958493ad5a52289d964546d66538ee7711

% aws verifiedpermissions get-policy-store --policy-store-id VNXujdHFh4tkq1L7eEvYJJ
{
    "policyStoreId": "VNXujdHFh4tkq1L7eEvYJJ",
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/VNXujdHFh4tkq1L7eEvYJJ",
    "validationSettings": {
        "mode": "STRICT"
    },
    "createdDate": "2026-01-29T00:08:20.836711+00:00",
    "lastUpdatedDate": "2026-01-29T00:08:20.836711+00:00",
    "description": "hoge0129vp",
    "deletionProtection": "ENABLED",
    "encryptionState": {
        "kmsEncryptionState": {
            "key": "arn:aws:kms:ap-northeast-1:123456789012:key/88a7256f-05a8-485f-8ddb-6af6cd05aabe",
            "encryptionContext": {
                "aws:verifiedpermissions:policy-store-arn": "arn:aws:verifiedpermissions::123456789012:policy-store/VNXujdHFh4tkq1L7eEvYJJ"
            }
        }
    },
    "cedarVersion": "CEDAR_4"
}

さいごに

本日は Amazon Verified Permissions ポリシーストアの保管時暗号化にカスタマーマネージドキーが選択できるようになったので確認してみました。

今回のアップデートで暗号化キーの要件を満たしやすくなりますね。
キーポリシーの設定だけ気をつけましょう。

この記事をシェアする

FacebookHatena blogX

関連記事

アプリの認可もマネージドに!「Simplify Tenant Authorization with Cedar and Amazon Verified Permissions」参加レポート #AWSreInvent
佐藤智樹
2025.12.03
【大阪開催】 AWS re:Inforce 2025 振り返り勉強会にて「Amazon InspectorとAmazon Verified Permissionsのアップデート & 現地情報の紹介」というタイトルで登壇しました! #reInforce_osaka
神野 雄大
2025.07.06
[レポート]Amazon Verified Permissionsで認可ロジックを短期間で実装する #AWSreInforce #IAM306
神野 雄大
2025.06.19
[アップデート] Amazon Verified PermissionsのExpress.js統合ライブラリがリリース! #AWSreInforce
神野 雄大
2025.06.18