kms:ViaService の考え方について

kms:ViaService を利用して、CMK を呼び出していない時」というポリシーの書き方をすることができる

                "Null": {
                    "kms:ViaService": "true"
                },

この部分は Classmethod さんのブログが非常にわかりやすい

https://dev.classmethod.jp/articles/ebs-kms-sourceip/

kms:ViaServiceは、CMKの使用を指定のAWSサービスからのリクエストに制限する条件キーであり、

Nullは、条件キーの存在を確認する条件演算子を指す。

Nullで {"kms:ViaService": "true"}と指定すると、「kms:ViaServiceが存在しない(≒CMKを呼び出していない)」という条件になる。

これを接続元IPアドレスを制限する条件に追加することで、「CMKを呼び出していない かつ 接続元IPを制限する」という条件になる。