web-dev-qa-db-ja.com

Cloudformationを使用してKMSキーを作成するときに、「AWS :: KMS :: Keyリソースでタグを処理するためのIAM権限がありませんでした」というメッセージが表示されます

Cloudformationを使用して新しいKMSキーを作成しているときに、[ステータスの理由]列に次のメッセージが表示されます。

AWS :: KMS :: Keyリソースでタグを処理するためのIAM権限がありませんでした

クラウドフォーメーションスタックは正しく作成されているようですが、このメッセージが表示されないようにするにはどうすればよいでしょうか。

次のCloudformationテンプレートを使用してKMSキーを作成しています。

AWSTemplateFormatVersion: "2010-09-09"
Description: "KMS key"
Outputs:
  KeyArn:
    Value: !Sub "${KmsKey.Arn}"
Resources:
  KmsKey:
    Properties:
      Description: "KMS key"
      Enabled: true
      EnableKeyRotation: false
      KeyPolicy:
        Version: "2012-10-17"
        Statement:
          - Sid: "Enable IAM User Permissions"
            Effect: "Allow"
            Principal: 
              AWS: !Sub "arn:aws:iam::${AWS::AccountId}:root"
            Action: "kms:*"
            Resource: "*"          
    Type: "AWS::KMS::Key"
  KmsKeyAlias:    
    Properties:
      AliasName: "alias/KmsKey"
      TargetKeyId: !Ref "KmsKey"
    Type: "AWS::KMS::Alias"

リソースの作成に使用する役割により、次のアクションが可能になります。

- Action:
    - kms:Create*
    - kms:List*
  Effect: "Allow"
  Resource: "*"
- Action:
    - kms:Describe*
    - kms:Enable*
    - kms:Put*
    - kms:Update*
    - kms:Get*
    - kms:Decrypt
    - kms:Encrypt
  Effect: "Allow"
  Resource:
    - "arn:aws:kms:*:*:key/*"
8
Nicholas

私の役割には、次のアクションがありませんでした。

- kms:TagResource
9
Nicholas