最近、KMS回りの権限について勉強中です。 今回は、KMSカスタマー管理キーで暗号化したSecrets Managerからシークレット情報を取得する時の、復号(Decrypt)に関する権限を整理してみたいと思います。 前回のブログ(ECRの暗号化)を踏まえた想像 実際の動作 動作確認用の環境構築 KMS Secrets Manager Lambda関数 コード IAMロール その他 動作確認 キーポリシーで、Lambdaに紐づけたIAMロールのDecryptを拒否してみる (応用)暗号化コンテキストを使って特定シークレット以外のDecryptを拒否する おわりに 前回のブログ(ECRの暗号化)…