AWS KMS keysの設定 (任意) - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS keysの設定 (任意)

暗号化キーを使用してリソースを AWS KMS 暗号化および復号する場合は、チェックボックスをオンにします。既存のキーがある場合は、ドロップダウンメニューに表示される識別子からキーを選択できます。[Create a key] (キーの作成) を選択して、新しいキーを生成できます。ランディングゾーンを更新するたびに、KMSキーを追加または変更できます。

ランディングゾーンの設定を選択すると、AWSControl Tower はKMSキーを検証するための事前チェックを実行します。キーは、以下の条件を満たす必要があります。

  • 有効

  • 対称

  • マルチリージョンキーではない

  • ポリシーに正しい許可が追加されている

  • キーが管理アカウントにある

キーがこれらの要件を満たしていない場合は、エラーバナーが表示されることがあります。その場合は、別のキーを選択するか、キーを生成します。次のセクションで説明するように、必ずキーの許可ポリシーを編集してください。

KMS キーポリシーを更新する

KMS キーポリシーを更新する前に、KMSキーを作成する必要があります。詳細については、「AWS Key Management Service デベロッパーガイド」の「キーポリシーの作成」を参照してください。

AWS Control Tower でKMSキーを使用するには、 AWS Config と に必要な最小限のアクセス許可を追加して、デフォルトのKMSキーポリシーを更新する必要があります AWS CloudTrail。ベストプラクティスとして、どのポリシーでも必要最小限のアクセス許可を付与することをお勧めします。KMS キーポリシーを更新するときに、アクセス許可を 1 つのJSONステートメントまたは行ごとにグループとして追加できます。

この手順では、 AWS Config と を暗号化 CloudTrail AWS KMS に使用するポリシーステートメントを追加して、 AWS KMS コンソールでデフォルトのKMSキーポリシーを更新する方法について説明します。ポリシーステートメントには、次の情報を含める必要があります。

  • YOUR-MANAGEMENT-ACCOUNT-ID – AWS Control Tower がセットアップされる管理アカウントの ID。

  • YOUR-HOME-REGION – AWS Control Tower の設定時に選択するホームリージョン。

  • YOUR-KMS-KEY-ID – ポリシーで使用されるKMSキー ID。

KMS キーポリシーを更新するには
  1. で AWS KMS コンソールを開きます。 https://console.aws.amazon.com/kms

  2. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  3. テーブルで、編集するキーを選択します。

  4. [キーポリシー] タブで、キーポリシーを表示できることを確認します。キーポリシーが表示されない場合は、[ポリシービューへの切り替え] を選択します。

  5. 編集を選択し、 と に AWS Config 次のポリシーステートメントを追加して、デフォルトのKMSキーポリシーを更新します CloudTrail。

    AWS Config ポリシーステートメント

    { "Sid": "Allow Config to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID" }

    CloudTrail ポリシーステートメント

    { "Sid": "Allow CloudTrail to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail" }, "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*" } } }
  6. [Save changes] (変更の保存) をクリックします。

KMSキーポリシーの例

次のポリシーの例は、 に付与するポリシーステートメント AWS Config と CloudTrail 最低限必要なアクセス許可を追加した後、KMSキーポリシーがどのようになるかを示しています。サンプルポリシーには、デフォルトのKMSキーポリシーは含まれません。

{ "Version": "2012-10-17", "Id": "CustomKMSPolicy", "Statement": [ { ... YOUR-EXISTING-POLICIES ... }, { "Sid": "Allow Config to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID" }, { "Sid": "Allow CloudTrail to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail" }, "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*" } } } ] }

その他のポリシーの例については、以下のページを参照してください。

攻撃者からの保護

ポリシーに特定の条件を追加することで、混乱した代理攻撃と呼ばれる特定のタイプの攻撃を防ぐことができます。これは、クロスサービス偽装など、エンティティが、より特権のあるエンティティにアクションを実行させる場合に発生します。ポリシー条件に関する一般的な情報については、「ポリシーの条件の指定」も参照してください。

AWS Key Management Service (AWS KMS) では、マルチリージョンKMSキーと非対称キーを作成できます。ただし、AWSControl Tower はマルチリージョンキーまたは非対称キーをサポートしていません。 AWSControl Tower は、既存のキーの事前チェックを実行します。マルチリージョンキーまたは非対称キーを選択すると、エラーメッセージが表示されることがあります。その場合は、AWSControl Tower リソースで使用する別のキーを生成します。

詳細については AWS KMS、「 AWS KMS デベロッパーガイド」を参照してください。

AWS Control Tower の顧客データは、デフォルトで SSE-S3 を使用して保管時に暗号化されることに注意してください。