翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の Security Hub CSPM コントロール AWS CloudTrail
これらの AWS Security Hub CSPM コントロールは、 AWS CloudTrail サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。
**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.1、 CIS AWS Foundations Benchmark v1.2.0/2.1、 CIS AWS Foundations Benchmark v1.4.0/3.1、 CIS AWS Foundations Benchmark v3.0.0/3.1、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9)、 NIST.800-53.r5 AU-10、 NIST.800-53.r5 AU-12、 NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(3)、 NIST.800-53.r5 AU-6(4)、 NIST.800-53.r5 AU-14(1)、 NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、 NIST.800-53.r5 SI-3(8)、 NIST.800-53.r5 SI-4(20)、 NIST.800-53.r5 SI-7(8)、 NIST.800-53.r5 SA-8(22)
**カテゴリ:** 識別 > ログ記録
**重要度:** 高
**リソースタイプ :** `AWS::::Account`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)
**スケジュールタイプ :** 定期的
**パラメータ :**
+ `readWriteType`: `ALL` (カスタマイズ不可)
`includeManagementEvents`: `true` (カスタマイズ不可)
このコントロールは、読み取りおよび書き込み管理イベントをキャプチャするマルチリージョン AWS CloudTrail 証跡が少なくとも 1 つあるかどうかを確認します。CloudTrail が無効になっているか、読み取りおよび書き込み管理イベントをキャプチャする CloudTrail 証跡が少なくとも 1 つ存在しない場合、コントロールは失敗します。
AWS CloudTrail は、アカウントの AWS API コールを記録し、ログファイルを配信します。記録された情報には、以下の情報が含まれます。
+ API 発信者の ID
+ API コールの時刻
+ API 発信者の送信元 IP アドレス
+ リクエストパラメータ
+ によって返されるレスポンス要素 AWS のサービス
CloudTrail は、、 AWS SDKs AWS マネジメントコンソール、コマンドラインツールからの AWS API コールなど、アカウントの API コールの履歴を提供します。履歴には、 AWS のサービス などの上位レベルの API コールも含まれます AWS CloudFormation。
CloudTrail によって生成された AWS API コール履歴により、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。マルチリージョン追跡には、次の利点もあります。
+ マルチリージョン追跡により、使用していないリージョンで発生する予期しないアクティビティを検出できます。
+ マルチリージョン追跡では、グローバルサービスイベントのログ記録がデフォルトで追跡に対して確実に有効になっています。グローバルサービスイベントのログ記録は、 AWS グローバルサービスによって生成されたイベントを記録します。
+ マルチリージョン追跡では、すべての読み取りオペレーションと書き込みオペレーションの管理イベントによって、CloudTrail がすべての AWS アカウントアカウントのリソースに対する管理オペレーションを確実に記録します。
デフォルトでは、 を使用して作成された CloudTrail 証跡はマルチリージョン証跡 AWS マネジメントコンソール です。
### 修正
CloudTrail で新しいマルチリージョンの追跡を作成するには、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。以下の値を使用します。
| フィールド | 値 |
| --- | --- |
| 追加設定、ログファイル検証 | 有効 |
| ログイベント、管理イベント、API アクティビティを選択 | **[読み取り]** と **[書き込み]** 除外にするチェックボックスはオフにしてください。 |
既存の追跡を更新するには、「*AWS CloudTrail ユーザーガイド*」の「[追跡の更新](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)」を参照してください。**[管理イベント]** の **[API アクティビティ]** で、**[読み取り]** と **[書き込み]** を選択します。
## [CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります
**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.5、CIS AWS Foundations Benchmark v1.2.0/2.7、CIS AWS Foundations Benchmark v1.4.0/3.7、CIS AWS Foundations Benchmark v3.0.0/3.5、NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53SC-28.r5 SC-28 (1)、NIST.800-53.r5 SC-7 SI-710.3.2
**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化
**重要度:** 中
**リソースタイプ :** `AWS::CloudTrail::Trail`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)
**スケジュールタイプ :** 定期的
**パラメータ:** なし
このコントロールは、CloudTrail がサーバー側の暗号化 (SSE) AWS KMS key 暗号化を使用するよう設定されているかどうかをチェックします。`KmsKeyId` が定義されていない場合、コントロールは失敗します。
機密性の高い CloudTrail ログファイルのセキュリティを強化するには、CloudTrail ログファイルに [AWS KMS keys (SSE-KMS) を使用したサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html)を使用して保管時の暗号化を行う必要があります。デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、「[Amazon S3 マネージド暗号化キーによる Amazon サーバー側の暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)」によって暗号化されることに注意してください。
### 修正
CloudTrail ログファイルの SSE-KMS 暗号化を有効にするには、「*AWS CloudTrail ユーザーガイド*」の「[KMS キーを使用するように追跡を更新する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail)」を参照してください。
## [CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります
**関連する要件:** NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/10.1、PCI DSS v3.2.1/10.2.1、PCI DSS v3.2.1/10.2.2、PCI DSS v3.2.1/10.2.3、PCI DSS v3.2.1/10.2.4、PCI DSS v3.2.1/10.2.5、PCI DSS v3.2.1/10.2.6、PCI DSS v3.2.1/10.2.7、PCI DSS v3.2.1/10.3.1、PCI DSS v3.2.1/10.3.2、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、PCI DSS v4.0.1/10.2.1
**カテゴリ:** 識別 > ログ記録
**重要度:** 高
**リソースタイプ :** `AWS::::Account`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)
**スケジュールタイプ :** 定期的
**パラメータ :** なし
このコントロールは、 で AWS CloudTrail 証跡が有効になっているかどうかを確認します AWS アカウント。アカウントに少なくとも 1 つの CloudTrail 追跡が有効になっていない場合、コントロールは失敗します。
ただし、一部の AWS サービスでは、すべての APIsとイベントのログ記録が有効になっていません。CloudTrail 以外の監査追跡を追加で実装し、「[CloudTrail のサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)」内の各サービスのドキュメントを確認してください。
### 修正
CloudTrail の使用を開始し、証跡を作成するには、*AWS CloudTrail 「 ユーザーガイド*」の[「Getting started with AWS CloudTrail tutorial](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html)」を参照してください。
## [PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.2、CIS AWS Foundations Benchmark v1.2.0/2.2、CIS AWS Foundations Benchmark v1.4.0/3.2、CIS AWS Foundations Benchmark v3.0.0/3.2、NIST.800-53.r5 AU-9、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-7(1)、NIST.800-53.r5 SI-7(3)、NIST.800-53.r5 SI-7(7)、NIST.800-1.r2 3.3.8、PCI v3.210.5.210.5.510.3.2
**カテゴリ:** データ保護 > データの整合性
**重要度:** 低
**リソースタイプ :** `AWS::CloudTrail::Trail`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)
**スケジュールタイプ :** 定期的
**パラメータ:** なし
このコントロールは、CloudTrail 追跡でログファイルの整合性の検証が有効になっているかどうかをチェックします。
CloudTrail ログファイルの検証では、CloudTrail が Amazon S3 に書き込む各ログのハッシュを含むデジタル署名されたダイジェストファイルを作成します。これらのダイジェストファイルを使用して、CloudTrail がログを配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断できます。
Security Hub CSPM では、すべての証跡でファイル検証を有効にすることをお勧めします。ログファイルの検証により、CloudTrail ログの追加の整合性チェックが提供されます。
### 修正
CloudTrail ログファイルの検証を有効にするには、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail のログファイルの整合性検証を有効にする](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)」を参照してください。
## [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります
**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.4、 PCI DSS v3.2.1/10.5.3、 CIS AWS Foundations Benchmark v1.2.0/2.4、 CIS AWS Foundations Benchmark v1.4.0/3.4、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9)、 NIST.800-53.r5 AU-10、 NIST.800-53.r5 AU-12、 NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(1)、 NIST.800-53.r5 AU-6(3)、 NIST.800-53.r5 AU-6(4)、 NIST.800-53.r5 AU-6(5)、 NIST.800-53.r5 AU-7(1)、 NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、 NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3(8)、 NIST.800-53.r5 SI-4(20)、 NIST.800-53.r5 SI-4(5)、 NIST.800-53.r5 SI-7(8)
**カテゴリ:** 識別 > ログ記録
**重要度:** 中
**リソースタイプ :** `AWS::CloudTrail::Trail`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)
**スケジュールタイプ :** 定期的
**パラメータ:** なし
このコントロールは、CloudWatch Logs にログを送信するように CloudTrail 追跡が設定されているかどうかをチェックします。追跡の `CloudWatchLogsLogGroupArn` プロパティが空の場合、コントロールは失敗します。
CloudTrail は、特定のアカウントで行われた AWS API コールを記録します。記録された情報には、以下が含まれます。
+ API 発信者のアイデンティティ
+ API コールの時刻
+ API 発信者の送信元 IP アドレス
+ リクエストパラメータ
+ によって返されるレスポンス要素 AWS のサービス
CloudTrail はログファイルの保存と配信に Amazon S3 を使用します。長期分析のために、指定した S3 バケットの CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、CloudWatch Logs にログを送信するように CloudTrail を設定できます。
アカウント内のすべてのリージョンで有効になっている追跡では、CloudTrail はそれらすべてのリージョンからログファイルを CloudWatch Logs ロググループに送信します。
Security Hub CSPM では、CloudTrail ログを CloudWatch Logs に送信することをお勧めします。この推奨事項は、アカウントアクティビティが確実にキャプチャおよびモニタリングされ、適切なアラームが出されることを確認する目的であることにご注意ください CloudWatch Logs を使用して、 でこれをセットアップできます AWS のサービス。この推奨事項は、別のソリューションの使用を除外するものではありません。
CloudTrail ログを CloudWatch Logs に送信すると、ユーザー、API、リソース、および IP アドレスに基づいてリアルタイムおよび過去のアクティビティを簡単にログに記録できます。この方法を使用して、異常または機密性の高いアカウントアクティビティに対してアラームと通知を確立できます。
### 修正
CloudTrail を CloudWatch Logs と統合するには、「*AWS CloudTrail ユーザーガイド*」の「[CloudWatch Logs へのイベントの送信](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html)」を参照してください。
## [CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します
**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/2.3、CIS AWS Foundations Benchmark v1.4.0/3.3、PCI DSS v4.0.1/1.4.4
**カテゴリ:** 識別 > ログ記録
**重要度:** 非常事態
**リソースタイプ :** `AWS::S3::Bucket`
**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)
**スケジュールタイプ:** 定期的および変更がトリガーされた場合
**パラメータ :** なし
CloudTrail は、アカウント内で実行された API コールをすべて記録します。これらのログファイルは S3 バケットに保存されます。CIS では、CloudTrail が記録する S3 バケットに S3 バケットポリシーまたはアクセスコントロールリスト (ACL) を適用して、CloudTrail ログへのパブリックアクセスを禁止することを推奨しています。CloudTrail ログコンテンツへのパブリックアクセスを許可すると、攻撃者が感染したアカウントの使用または設定における弱点を特定する手助けとなる可能性があります。
このチェックを実行するために、Security Hub CSPM はまずカスタムロジックを使用して、CloudTrail ログが保存されている S3 バケットを探します。次に、 AWS Config マネージドルールを使用して、バケットがパブリックにアクセス可能であることを確認します。
ログを 1 つの一元化された S3 バケットに集約する場合、Security Hub CSPM は、一元化された S3 バケットがあるアカウントとリージョンに対してのみチェックを実行します。他のアカウントとリージョンでは、コントロールステータスは **[No data]** (データなし) となります。
バケットがパブリックアクセス可能な場合、チェックにより結果 (失敗) が生成されます。
### 修正
CloudTrail S3 バケットへのパブリックアクセスをブロックするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[3 バケットへのパブリックアクセスブロック設定の構成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)」を参照してください。4 つの Amazon S3 パブリックアクセスブロック設定をすべて選択します。
## [CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します
**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/2.6、CIS AWS Foundations Benchmark v1.4.0/3.6、CIS AWS Foundations Benchmark v3.0.0/3.4、PCI DSS v4.0.1/10.2.1
**カテゴリ:** 識別 > ログ記録
**重要度:** 低
**リソースタイプ :** `AWS::S3::Bucket`
**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 定期的
**パラメータ :** なし
S3 バケットアクセスログ記録により、S3 バケットに対して行われたリクエストごとのアクセスレコードを含むログが生成されます。アクセスログレコードには、リクエストのタイプ、リクエストに指定されたリソース、リクエストが処理された日時など、リクエストの詳細が記録されます。
CIS では、CloudTrail S3 バケットでバケットアクセスログ記録を有効にすることを推奨しています。
ターゲット S3 バケットで S3 バケットのログ記録を有効にすることで、ターゲットバケット内のオブジェクトに影響を与える可能性のあるすべてのイベントをキャプチャできます。ログを別のバケットに配置するように設定すると、ログ情報にアクセスできるようになり、セキュリティおよびインシデント対応のワークフローで役立ちます。
このチェックを実行するために、Security Hub CSPM はまずカスタムロジックを使用して CloudTrail ログが保存されているバケットを検索し、次に AWS Config マネージドルールを使用してログ記録が有効になっているかどうかを確認します。
CloudTrail が複数の から 1 つの送信先 Amazon S3 バケット AWS アカウント にログファイルを配信する場合、Security Hub CSPM はこのコントロールが配置されているリージョンの送信先バケットに対してのみこのコントロールを評価します。これにより、結果が効率化されます。ただし、宛先バケットにログを配信するすべてのアカウントで CloudTrail を有効にする必要があります。宛先バケットを保持しているアカウントを除くすべてのアカウントの制御ステータスは「**データなし**」です。
### 修正
CloudTrail S3 バケットのサーバーアクセスのログ記録を有効にするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 サーバーアクセスログの有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging)」を参照してください。
## [CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::CloudTrail::Trail`
**AWS Config rule:** `tagged-cloudtrail-trail` (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | No default value |
このコントロールは、 AWS CloudTrail 証跡にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。証跡にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、証跡にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
**注記**
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。
### 修正
CloudTrail 証跡にタグを追加するには、「*AWS CloudTrail API リファレンス*」の「[AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)」を参照してください。
## [CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys
**関連する要件:** NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)
**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化
**重要度:** 中
**リソースタイプ :** `AWS::CloudTrail::EventDataStore`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)
**スケジュールタイプ :** 定期的
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | 評価 AWS KMS keys に含める の Amazon リソースネーム (ARNs) のリスト。イベントデータストアがリスト内の KMS キーで暗号化されていない場合、コントロールは `FAILED` 結果を生成します。 | StringList (最大 3 項目) | 既存の KMS キーの 1~3 個の ARN。例: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。 | デフォルト値なし |
このコントロールは、 AWS CloudTrail Lake イベントデータストアがカスタマーマネージドで保管中に暗号化されているかどうかをチェックします AWS KMS key。イベントデータストアがカスタマーマネージド KMS キーで暗号化されていない場合、コントロールは失敗します。必要に応じて、コントロールの評価に含める KMS キーのリストを指定することができます。
デフォルトでは、 AWS CloudTrail Lake は AES-256 アルゴリズムを使用して Amazon S3 マネージドキー (SSE-S3) でイベントデータストアを暗号化します。追加の制御のために、代わりにカスタマーマネージド AWS KMS key (SSE-KMS) を使用してイベントデータストアを暗号化するように CloudTrail Lake を設定できます。カスタマーマネージド KMS キーは、 AWS KMS key で作成、所有、管理する です AWS アカウント。ユーザーは、このタイプの KMS キーについては完全なコントロール権を持ちます。これには、キーポリシーの定義と維持管理、許可の管理、暗号化マテリアルのローテーション、タグの割り当て、エイリアスの作成、キーの有効化と無効化が含まれます。CloudTrail データの暗号化オペレーションでカスタマーマネージド KMS キーを使用して、CloudTrail ログでその使用を監査することができます。
### 修正
指定した を使用して AWS CloudTrail Lake イベントデータストアを暗号化する方法については、*AWS CloudTrail 「 ユーザーガイド*」の AWS KMS key [「イベントデータストアの更新](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html)」を参照してください。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。