コンソールでKMSキーを使用するようにリソースを更新する - AWS CloudTrail
証跡を更新してKMSキーを使用するKMS キーを使用するようにイベントデータストアを更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールでKMSキーを使用するようにリソースを更新する

CloudTrail コンソールで、証跡またはイベントデータストアを更新して AWS Key Management Service キーを使用します。独自のKMSキーを使用すると、暗号化と復号の AWS KMS コストが発生することに注意してください。詳細については、AWS Key Management Service 料金を参照してください。

証跡を更新してKMSキーを使用する

変更 AWS KMS key した を使用するように証跡を更新するには CloudTrail、 CloudTrail コンソールで次の手順を実行します。

注記

次の手順で証跡を更新すると、ログファイルは暗号化されますが、ダイジェストファイルは SSE- では暗号化されませんKMS。ダイジェストファイルは、Amazon S3-managedされた暗号化キー (SSE-S3) で暗号化されます。

S3 バケットキーで既存の S3 バケットを使用している場合は、 アクションGenerateDataKeyと を使用する AWS KMS ためのアクセス許可をキーポリシーで付与 CloudTrail する必要がありますDescribeKey。もし cloudtrail.amazonaws.com にキーポリシーの許可が与えられていない場合、証跡の作成や更新は行なえません。

を使用して証跡を更新するには AWS CLI、「」を参照してくださいAWS CLI を使用して CloudTrail ログファイルの暗号化の有効と無効を切り替える

証跡を更新してKMSキーを使用するには

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. [Trails] を選択し、証跡名を選択します。

  3. [General details] で、[Edit] を選択します。

  4. ログファイル SSE-KMS 暗号化 では、-SSE-S3 暗号化の代わりに SSE-KMS 暗号化を使用してログファイルを暗号化する場合は、有効 を選択します。デフォルトは [Enabled] です。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、AWS Key Management Service 「 (SSE-KMS) によるサーバー側の暗号化の使用」を参照してください。SSE-S3 暗号化の詳細については、「Amazon S3-Managed暗号化キーによるサーバー側の暗号化の使用 (SSE-S3)」を参照してください。

    [Existing] を選択して AWS KMS keyの証跡を更新します。ログファイルを受け取る S3 バケットと同じリージョンにあるKMSキーを選択します。S3 バケットのリージョンを確認するには、S3 コンソールでそのプロパティを確認します。

    注記

    別のアカウントのキーARNの を入力することもできます。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。キーポリシーでは、 CloudTrail が キーを使用してログファイルを暗号化し、指定したユーザーが暗号化されていない形式でログファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、CloudTrail の AWS KMS キーポリシーを設定する を参照してください。

    AWS KMS エイリアスで、使用するポリシーを変更したエイリアスを CloudTrail形式で指定しますalias/MyAliasName。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。

    エイリアス名、ARN、またはグローバルに一意のキー ID を入力できます。KMS キーが別のアカウントに属している場合は、キーポリシーにそのキーを使用できるようにするアクセス許可があることを確認します。値は、以下の形式のいずれかになります。

    • エイリアス名: alias/MyAliasName

    • エイリアス: ARN arn:aws:kms:region:123456789012:alias/MyAliasName

    • [KeyARN] (キー): arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • グローバルに一意のキー ID: 12345678-1234-1234-1234-123456789012

  5. [証跡の作成] を選択します。

    注記

    選択したKMSキーが無効になっているか、削除が保留中の場合、そのKMSキーを使用して証跡を保存することはできません。KMS キーを有効にするか、別のキーを選択できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーの状態: KMSキーへの影響」を参照してください。

KMS キーを使用するようにイベントデータストアを更新する

変更 AWS KMS key した を使用するようにイベントデータストアを更新するには CloudTrail、 CloudTrail コンソールで次の手順を実行します。

を使用してイベントデータストアを更新するには AWS CLI、「」を参照してくださいでイベントデータストアを更新する AWS CLI

重要

KMS キーの無効化または削除、またはキーに対する CloudTrail アクセス許可の削除により、 CloudTrail はイベントデータストアにイベントを取り込むことがなくなり、ユーザーはキーで暗号化されたイベントデータストア内のデータをクエリできなくなります。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。イベントデータストアで使用しているKMSキーを無効化または削除する前に、イベントデータストアを削除またはバックアップします。

KMS キーを使用するようにイベントデータストアを更新するには

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインで、[Lake][Event data stores] (イベントデータストア) を選択します。更新するイベントデータストアを選択します。

  3. [General details] で、[Edit] を選択します。

  4. 暗号化 で、まだ有効になっていない場合は、独自の AWS KMS keyKMSキーを使用してログファイルを暗号化する を選択します。

    既存 を選択して、イベントデータストアを KMSキーで更新します。イベントデータストアと同じリージョンにあるKMSキーを選択します。別のアカウントからのキーはサポートされていません。

    Enter AWS KMS Alias で、使用するポリシーを変更したエイリアスを 形式で指定 CloudTrailしますalias/MyAliasName。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。

    エイリアスを選択するか、またはグローバルに一意のキー ID を使用することを選択できます。値は、以下の形式のいずれかになります。

    • エイリアス名: alias/MyAliasName

    • エイリアス: ARN arn:aws:kms:region:123456789012:alias/MyAliasName

    • [KeyARN] (キー): arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • グローバルに一意のキー ID: 12345678-1234-1234-1234-123456789012

  5. [Save changes] (変更の保存) をクリックします。

    注記

    選択したKMSキーが無効になっているか、削除が保留中の場合、そのKMSキーを使用してイベントデータストア設定を保存することはできません。KMS キーを有効にするか、別のキーを選択できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーの状態: KMSキーへの影響」を参照してください。