助け合いフォーラム
AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 43461
問題を開く
ある金融機関は、顧客に取引アラートを送信するためのアプリケーションをAWS上で開発している。このアプリケーションではLambda関数を利用して、取引情報を含むメッセージをSNSトピックへ発行する予定である。取引情報には顧客の機密性が高い財務情報が含まれているため、セキュリティ要件としてSNSトピックはAWS KMS(Key Management Service)のカスタマーマネージドキーを使...
この問題はプレミアムコンテンツです。
SNSのアクセスポリシーにKMSカスタマーマネージドキーの利用を許可するポリシーは不要?
m
mikui7
投稿日 2026/05/30
Lambda実行ロールにKMSカスタマーマネージドキーの利用を許可するポリシーが必要とのことですが、SNSのアクセスポリシーにも同じようにKMSカスタマーマネージドキーの利用を許可するポリシーは不要なのでしょうか。KMSカスタマーマネージドキーのキーポリシーには、SNSサービスの利用を許可するポリシーが必要ですが、こちらが不要になる理由が分からず。
2026/05/31 23:00
SNSのアクセスポリシーやKMSのキーポリシーはリソースベースポリシーです。
リソースベースポリシーは
・そのリソース(SNSキューやKMSキー)に対して
・他のプリンシパル(Lambdaの実行ロール等)が
・何の操作を許可/拒否するか
を記述します。
Lambdaの実行ロールに付与するアイデンティティポリシーのように
「当該SNSがKMSを操作する権限を付与」することはできません。
ただ、SNSには実行ロールに相当するものがありません。
大部分のAWSサービスは実行ロールに相当するものを持ちますが、一部例外があり、仕様として暗記するしかないようです。
リソースベースポリシー(操作される側への権限記述)
アイデンティティポリシー(操作する側への権限記述)
プリンシパル(操作する主体)
を整理すると、今後のAWS学習にも役立つと思います。
コメント
この投稿に対して返信しませんか?
m mikui7
2026/06/02 10:20
ご回答ありがとうございます。理解しました。