「kms:ViaService を利用して、CMK を呼び出していない時」というポリシーの書き方をすることができる
"Null": {
"kms:ViaService": "true"
},
この部分は Classmethod さんのブログが非常にわかりやすい
https://dev.classmethod.jp/articles/ebs-kms-sourceip/
kms:ViaServiceは、CMKの使用を指定のAWSサービスからのリクエストに制限する条件キーであり、
Nullは、条件キーの存在を確認する条件演算子を指す。
Nullで {"kms:ViaService": "true"}と指定すると、「kms:ViaServiceが存在しない(≒CMKを呼び出していない)」という条件になる。
これを接続元IPアドレスを制限する条件に追加することで、「CMKを呼び出していない かつ 接続元IPを制限する」という条件になる。