AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS) - AWS CloudTrail
ログファイルの暗号化を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)

デフォルトでは、 によってバケット CloudTrail に配信されるログファイルは、KMSキー (SSE-KMS) によるサーバー側の暗号化を使用して暗号化されます。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化 を使用して暗号化されます。

注記

サーバー側の暗号化を有効にすると、ログファイルは暗号化されますが、ダイジェストファイルは SSE- で暗号化されませんKMS。ダイジェストファイルは、Amazon S3-managed暗号化キー (-SSE-S3で暗号化されます。

S3 バケットキー を持つ既存の S3 バケットを使用している場合 CloudTrail 、 AWS KMS アクションGenerateDataKeyと を使用するには、キーポリシーで のアクセス許可が必要ですDescribeKey。もし cloudtrail.amazonaws.com にキーポリシーの許可が与えられていない場合、証跡の作成や更新は行なえません。

で SSE-KMS を使用するには CloudTrail、 とも呼ばれるKMSキーを作成して管理しますAWS KMS key。ログファイルの暗号化と復号に使用できるユーザーを決定するポリシーをキーにアタッチします CloudTrail 。復号は、S3 を通じてシームレスです。キー読み取り CloudTrail ログファイルの許可されたユーザーの場合、S3 は復号を管理し、許可されたユーザーは暗号化されていない形式でログファイルを読み取ることができます。

このアプローチには以下の利点があります。

  • KMS キー暗号化キーは自分で作成および管理できます。

  • 1 つのKMSキーを使用して、すべてのリージョンの複数のアカウントのログファイルを暗号化および復号できます。

  • CloudTrail ログファイルの暗号化と復号にキーを使用できるユーザーを制御できます。要件に応じて、組織のユーザーにキーのアクセス権限を割り当てることができます。

  • セキュリティが強化されました。この機能では、ログファイルを読み取るために、次のアクセス許可が必要です。

    • ユーザーには、ログファイルを含むバケットに対する S3 の読み取り権限が必要です。

    • ユーザーは、KMSキーポリシーによる復号アクセス許可を許可するポリシーまたはロールも適用されている必要があります。

  • S3 はKMSキーの使用を許可されたユーザーからのリクエストのログファイルを自動的に復号するため、 SSE-KMS CloudTrail ログファイルの暗号化は CloudTrail 、ログデータを読み取るアプリケーションと下位互換性があります。

注記

選択したKMSキーは、ログファイルを受信する Amazon S3 バケットと同じ AWS リージョンに作成する必要があります。例えば、ログファイルが米国東部 (オハイオ) リージョンのバケットに保存される場合、そのリージョンで作成されたKMSキーを作成または選択する必要があります。Amazon S3 バケットのリージョンを確認するには、Amazon S3 コンソールでそのプロパティを調べます。

ログファイルの暗号化を有効にする

注記

CloudTrail コンソールでKMSキーを作成する場合、 は必要なKMSキーポリシーセクション CloudTrail を追加します。IAM コンソールまたは でキーを作成し AWS CLI 、必要なポリシーセクションを手動で追加する必要がある場合は、次の手順に従います。

CloudTrail ログファイルの SSE-KMS 暗号化を有効にするには、以下の大まかなステップを実行します。

  1. KMS キーを作成します。

    • でKMSキーを作成する方法については AWS Management Console、「 AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。

    • を使用してKMSキーを作成する方法については AWS CLI、「create-key」を参照してください。

    注記

    選択するKMSキーは、ログファイルを受信する S3 バケットと同じリージョンにある必要があります。S3 バケットのリージョンを確認するには、S3 コンソールでバケットのプロパティを調べます。

  2. が を暗号化し、ユーザーがログファイル CloudTrail を復号できるようにするポリシーセクションを キーに追加します。

    • ポリシーに含める内容の詳細については、「の AWS KMS キーポリシーを設定する CloudTrail」を参照してください。

      警告

      ログファイルを読み取る必要があるすべてのユーザーに対して、ポリシーに復号のアクセス権限を含めるようにしてください。証跡の設定にキーを追加する前にこの手順を実行しない場合、復号のアクセス権限のないユーザーは、それらにアクセス権限を付与するまで暗号化されたファイルを読み取ることができません。

    • IAM コンソールでポリシーを編集する方法については、「 AWS Key Management Service デベロッパーガイド」の「キーポリシーの編集」を参照してください。

    • を使用してKMSキーにポリシーをアタッチする方法については、 AWS CLI「」を参照してくださいput-key-policy

  3. のポリシーを変更したKMSキーを使用するように証跡を更新します CloudTrail。

CloudTrail は AWS KMS 、マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

次のセクションでは、KMSキーポリシーが で使用するために必要なポリシーセクションについて説明します CloudTrail。