No.791 S3バッチ操作で暗号化されたオブジェクトに対して作業を行っている場合、どのようなアクセス許可が必要ですか？

• 暗号化に使用されるAWS KMSキーへのアクセス許可
  正解 正しいです。暗号化されたオブジェクトに対してS3バッチ操作を実行している場合、IAMロールには、暗号化に使用されるAWS KMSキーへのアクセス許可が必要です。
• s3:PutObject, s3:PutObjectAcl, s3:PutObjectTaggingのアクセス許可
  不正解 これは一部正しいです。オブジェクトをコピーする場合には、これらのアクセス許可が必要ですが、暗号化されたオブジェクトに対して作業を行っている場合、AWS KMSキーへのアクセス許可も必要です。
• s3:GetObject, s3:GetObjectAcl, s3:GetObjectTagging, s3:ListBucketのアクセス許可
  不正解 これは一部正しいです。オブジェクトを取得する場合には、これらのアクセス許可が必要ですが、暗号化されたオブジェクトに対して作業を行っている場合、AWS KMSキーへのアクセス許可も必要です。
• kms:Decryptとkms:GenerateDataKeyのアクセス許可
  不正解 これは一部正しいです。インベントリレポートマニフェストをAWS KMSで暗号化して送信する場合には、これらのアクセス許可が必要です。ただし、これだけでは不十分で、暗号化に使用されるAWS KMSキーへのアクセス許可も必要です。

参考文献