翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon DataZone での保管中のデータ暗号化
デフォルトでは、保管中のデータを暗号化することで、機密データの保護に伴う運用のオーバーヘッドと複雑な作業を軽減できます。同時に、セキュリティを重視したアプリケーションを構築することで、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
Amazon DataZone は、デフォルト所有 AWSのキーを使用して、保管中のデータを自動的に暗号化します。 AWS 所有キーの使用を表示、管理、または監査することはできません。詳細については、「[AWS owned keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
この暗号化層を無効にしたり、別の暗号化タイプを選択したりすることはできませんが、Amazon DataZone ドメインを作成する際にカスタマーマネージドキーを選択できます。Amazon DataZone は、作成、所有、管理できる対称カスタマーマネージドキーの使用をサポートしています。暗号化はユーザーが完全に制御できるため、以下のタスクを実行できます。
+ キーポリシーの確立と維持
+ IAM ポリシーとグラントの確立と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ タグを追加
+ キーエイリアスの作成
+ キー削除のスケジュール
独自のキーを使用するには、Amazon DataZone ドメインを作成する際にカスタマーマネージドキーを選択します。
詳細については、「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
**注記**
Amazon DataZone は AWS 、所有キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。
AWS カスタマーマネージドキーの使用には KMS 料金が適用されます。料金の詳細については、「[AWS Key Management Service の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
## Amazon DataZone が KMS AWS で許可を使用する方法
Amazon DataZone では、カスタマーマネージドキーを使用するために 2 つの[権限](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が必要です。カスタマーマネージドキーで暗号化された Amazon DataZone ドメインを作成すると、Amazon DataZone は [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを AWS KMS に送信することで、ユーザーに代わって許可を作成します。KMS AWS の許可は、Amazon DataZone にアカウントの KMS キーへのアクセスを許可するために使用されます。Amazon DataZone は、以下の内部オペレーションでユーザーのカスタマーマネージドキーを使用するために、以下のグラントを作成します。
**以下のオペレーションのために保管中のデータを暗号化するための 1 つのグラント:**
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを AWS KMS に送信して、Amazon DataZone ドメインの作成時に入力された対称カスタマーマネージド KMS キー ID が有効であることを確認します。
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) を AWS KMS に送信して、カスタマーマネージドキーによって暗号化されたデータキーを生成します。
+ [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストを送信することにより、Amazon DataZone は保存されたデータを復号できます。
+ [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) は、ドメインが削除されたときにグラントを廃止します。
**データの検索、検出、[エクスポート](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/sagemaker-unified-studio-export-asset-metadata-kms-permissions.html)のための 1 つの許可:**
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) – カスタマーマネージドキーの詳細を提供し、Amazon DataZone がキーを検証できるようにします。
+ [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) - Amazon DataZone が保存されたデータを復号できるようにします。
いつでも権限のアクセス許可を取り消して、カスタマーマネージドキーに対するアクセス許可を削除できます。これを行うと、Amazon DataZone はカスタマーマネージドキーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存するオペレーションが影響を受けます。
## カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは、 AWS マネジメントコンソールまたは KMS APIs AWS を使用して作成できます。
対称カスタマーマネージドキーを作成するには、 AWS 「 Key Management Service デベロッパーガイド」の[「対称カスタマーマネージドキーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)」の手順に従います。
**キーポリシー** - キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、 AWS 「 Key Management Service デベロッパーガイド」の[「カスタマーマネージドキーへのアクセスの管理](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」を参照してください。
Amazon DataZone リソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。
+ [kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) – カスタマーマネージドキーにグラントを追加します。グラントによって指定された KMS キーへのアクセスを制御します。これにより、Amazon DataZone が必要とする[グラントオペレーション](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)へのアクセスが許可されます。[グラントの使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)の詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。
+ [kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) – カスタマーマネージドキーの詳細を提供し、Amazon DataZone がキーを検証できるようにします。
+ [kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) - AWS KMS の外部で使用する一意の対称データキーを返します。
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) – KMS キーによって暗号化された暗号文を復号します。
Amazon DataZone に追加できるポリシーステートメントの例を以下に示します。
```
"Statement": [
{
"Sid": "Enable IAM User Permissions for DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid": "Allow access to principals authorized to manage Amazon DataZone",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:datazone:domainId"
}
}
},
{
"Sid": "Allow creating grants when creating an Amazon DataZone for all principals in the account that are authorized to manage Amazon DataZone",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:region:111122223333:key/key_ID",
"Condition": {
"StringLike": {
"kms:CallerAccount": "111122223333",
"kms:ViaService": "datazone.region.amazonaws.com"
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:datazone:domainId"
}
}
}
]
```
**注記**
Amazon DataZone データポータルには、ドメイン実行ロールプリンシパルを介してカスタマーマネージドキーへのアクセス許可が付与されます。
[ポリシーでアクセス許可を指定する方法の詳細については、](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) AWS 「 Key Management Service デベロッパーガイド」を参照してください。
[キーアクセスのトラブルシューティング](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)の詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。
## Amazon DataZone のカスタマーマネージドキーの指定
[ドメインの作成](create-domain.md)時に、カスタマーマネージドキーを 2 番目のレイヤー暗号化として指定できます。
## Amazon DataZone 暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、データに関する追加のコンテキスト情報を含むキーと値のペアのオプションセットです。
AWS KMS は、追加の[認証済みデータ](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad)として暗号化コンテキストを使用して、[認証済み暗号化](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#define-authenticated-encryption)をサポートします。データを暗号化するリクエストに暗号化コンテキストを含めると、 AWS KMS は暗号化コンテキストを暗号化されたデータにバインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
Amazon DataZone では、次の暗号化コンテキストを使用します。
```
"encryptionContextSubset": {
"aws:datazone:domainId": "{dzd_samleid}"
}
```
**モニタリングに暗号化コンテキストを使用する** - 対称カスタマーマネージドキーを使用して Amazon DataZone を暗号化する場合は、監査レコードとログで暗号化コンテキストを使用して、カスタマーマネージドキーがどのように使用されているかを特定することもできます。暗号化コンテキストは、 AWS CloudTrail または Amazon CloudWatch Logs によって生成されたログにも表示されます。
**対称カスタマーマネージドキーへのアクセスコントロールに暗号化コンテキストを使用する** - 対称カスタマーマネージドキーへのアクセスを制御するための条件として、キーポリシーと IAM ポリシーで暗号化コンテキストを使用できます。グラントに暗号化コンテキストの制約を使用することもできます。
Amazon DataZone は、グラントに暗号化コンテキスト制約を使用して、アカウントまたはリージョン内のカスタマーマネージドキーへのアクセスを制御します。グラントの制約では、指定された暗号化コンテキストの使用をグラントが許可するオペレーションが必要です。
次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid": "Allow access to principal to manage an Amazon DataZone domain with the given domain id",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:datazone:domainId": "dzd_sampleid"
}
}
},
{
"Sid": "Allow creating grants when creating an Amazon DataZone domain to principal",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:region:111122223333:key/key_ID",
"Condition": {
"StringLike": {
"kms:CallerAccount": "111122223333",
"kms:ViaService": "datazone.region.amazonaws.com"
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:datazone:domainId"
}
}
}
```
## Amazon DataZone の暗号化キーのモニタリング
Amazon DataZone リソースで AWS KMS カスタマーマネージドキーを使用する場合、[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) を使用して Amazon DataZone が AWS KMS に送信するリクエストを追跡できます。次の例は`CreateGrant`、カスタマーマネージドキーによって暗号化されたデータにアクセス`RetireGrant`するために Amazon DataZone によって呼び出される KMS オペレーションをモニタリングするための `Decrypt`、、`GenerateDataKey`、および の AWS CloudTrail イベントです。
------
#### [ CreateGrant ]
AWS KMS カスタマーマネージドキーを使用して Amazon DataZone ドメインを暗号化すると、Amazon DataZone はユーザーに代わって AWS アカウントの KMS キーにアクセスする`CreateGrant`リクエストを送信します。Amazon DataZone が作成する権限は、KMS AWS カスタマーマネージドキーに関連付けられたリソースに固有です。さらに、Amazon DataZone は、ドメインを削除する際に、グラントを削除する `RetireGrant` オペレーションを使用します。
次に、`CreateGrant` オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Example/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Example",
"accountId": "111122223333",
"userName": "Example"
},
"attributes": {
"creationDate": "2024-04-22T17:02:00Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datazone.amazonaws.com"
},
"eventTime": "2024-04-22T17:02:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datazone.amazonaws.com",
"userAgent": "datazone.amazonaws.com",
"requestParameters": {
"retiringPrincipal": "datazone.us-east-2.amazonaws.com",
"operations": [
"GenerateDataKey",
"RetireGrant",
"DescribeKey",
"Decrypt"
],
"granteePrincipal": "datazone.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:datazone:domainId": "dzd_sampleid"
}
},
"keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Example/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Example",
"accountId": "111122223333",
"userName": "Example"
},
"attributes": {
"creationDate": "2024-04-22T17:10:00Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datazone.amazonaws.com"
},
"eventTime": "2024-04-22T17:49:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datazone.amazonaws.com",
"userAgent": "datazone.amazonaws.com",
"requestParameters": {
"retiringPrincipal": "datazone.us-east-2.amazonaws.com",
"operations": [
"DescribeKey",
"Decrypt"
],
"granteePrincipal": "datazone.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:datazone:domainId": "dzd_sampleid"
}
},
"keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKey ]
Amazon DataZone ドメインの AWS KMS カスタマーマネージドキーを有効にすると、Amazon DataZone はデータキーを生成します。ドメインの AWS KMS カスタマーマネージドキーを指定する`GenerateDataKey`リクエストを AWS KMS に送信します。
次に、GenerateDataKey オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:AmazonSageMakerDomainExecution",
"arn": "arn:aws:sts::111122223333:assumed-role/AmazonSageMakerDomainExecution/AmazonSageMakerDomainExecution",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/AmazonSageMakerDomainExecution",
"accountId": "111122223333",
"userName": "AmazonSageMakerDomainExecution"
},
"attributes": {
"creationDate": "2024-04-22T19:50:39Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datazone.amazonaws.com"
},
"eventTime": "2024-04-22T19:50:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-2",
"sourceIPAddress": "datazone.amazonaws.com",
"userAgent": "datazone.amazonaws.com",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:datazone:domainId": "dzd_sampleid",
"V": "2024-04-22T17:49:12.98177136Z|cacf3df7-7b99-49f6-ae14-sample",
"version": "0",
"N": "dzd_sampleid|arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"*aws-kms-table*": "awsdatazoneroaring-data-store-datakeys-prod-us-east-2"
},
"keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2024-04-22T19:50:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:datazone:domainId": "dzd_sampleid",
"aws:s3:arn": "arn:aws:s3:::amazon-datazone-us-east-2-422ceee9465430bdb354d1c9efsample"
},
"keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
ユーザーが暗号化された Amazon DataZone ドメインにアクセスすると、Amazon DataZone は `Decrypt` オペレーションを呼び出し、保存されている暗号化されたデータキーを使用して暗号化済みのデータにアクセスします。
以下のイベント例は、`Decrypt` オペレーションを記録したものです。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:AmazonSageMakerDomainExecution",
"arn": "arn:aws:sts::111122223333:assumed-role/AmazonSageMakerDomainExecution/AmazonSageMakerDomainExecution",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/AmazonSageMakerDomainExecution",
"accountId": "111122223333",
"userName": "AmazonSageMakerDomainExecution"
},
"attributes": {
"creationDate": "2024-04-22T19:50:39Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datazone.amazonaws.com"
},
"eventTime": "2024-04-22T19:51:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "datazone.amazonaws.com",
"userAgent": "datazone.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:datazone:domainId": "dzd_sampleid",
"V": "2024-04-22T17:49:12.98177136Z|cacf3df7-7b99-49f6-ae14-sample",
"version": "0",
"N": "dzd_sampleid|arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"*aws-kms-table*": "awsdatazoneroaring-data-store-datakeys-prod-us-east-2"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datazone.amazonaws.com"
},
"eventTime": "2024-04-22T19:51:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "datazone.amazonaws.com",
"userAgent": "datazone.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:datazone:domainId": "dzd_sampleid",
"V": "2024-04-22T17:49:12.98177136Z|cacf3df7-7b99-49f6-ae14-sample",
"version": "0",
"N": "dzd_sampleid|arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"*aws-kms-table*": "awsdatazoneroaring-data-store-datakeys-prod-us-east-2"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2024-04-22T19:51:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:datazone:domainId": "dzd_sampleid",
"aws:s3:arn": "arn:aws:s3:::amazon-datazone-us-east-2-422ceee9465430bdb354d1c9efsample"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ RetireGrant ]
以下のイベント例は、`RetireGrant` オペレーションを記録したものです。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datazone.amazonaws.com"
},
"eventTime": "2025-04-29T22:18:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datazone.amazonaws.com",
"userAgent": "datazone.amazonaws.com",
"requestParameters": null,
"responseElements": {
"keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"additionalEventData": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "294308c0-7617-4727-b5c9-34eaf75aa8e3",
"eventID": "273708f7-5fbb-3a90-b04d-2b3138bf0ec9",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "b46377d7-b3c3-4bfd-a257-722bd3f3411d",
"eventCategory": "Management"
}
```
------
## 暗号化された Glue カタログを含む Data Lake AWS 環境の作成
高度なユースケースでは、暗号化された AWS Glue カタログを使用する場合は、カスタマーマネージド KMS キーを使用する Amazon DataZone サービスへのアクセスを許可する必要があります。これを行うには、カスタム KMS ポリシーを更新し、キーにタグを追加します。暗号化された Glue カタログのデータを操作する Amazon DataZone AWS サービスへのアクセスを許可するには、次の手順を実行します。
+ カスタム KMS キーに次のポリシーを追加します。詳細については、「[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow datazone environment roles to decrypt using the key",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:glue_catalog_id": ""
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/*datazone_usr*",
"arn:aws:iam::444455556666:role/*datazone_usr*"
]
}
}
},
{
"Sid": "Allow datazone environment roles to describe the key",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/*datazone_usr*",
"arn:aws:iam::444455556666:role/*datazone_usr*"
]
}
}
}
]
}
```
------
**重要**
環境を作成するアカウント ID を使用して、ポリシーの `"aws:PrincipalArn"` ARN を変更する必要があります。環境を作成する各アカウントは、ポリシーに `"aws:PrincipalArn"` としてリストされている必要があります。
また、 を Glue カタログがある有効な AWS アカウント ID AWS に置き換える必要があります。
このポリシーは、指定されたアカウント (複数可) 内のすべての Amazon DataZone 環境ユーザーロールにキーを使用するアクセスを許可することに注意してください。特定の環境ユーザーロールにのみキーの使用を許可する場合は、ワイルドカード形式ではなく、環境ユーザーロール名全体 (例: `arn:aws:iam:::role/datazone_usr_` は環境の ID) を指定する必要があります。
+ カスタム KMS キーに次のタグを追加します。詳細については、「[タグを使用して KMS キーへのアクセスを制御する](https://docs.aws.amazon.com/kms/latest/developerguide/tag-authorization.html)」を参照してください。
```
key: AmazonDataZoneEnvironment
value: all
```