AWS CloudTrail
ユーザーガイド (Version 1.0)

AWS CLI を使用して CloudTrail ログファイルの暗号化の有効と無効を切り替える

このトピックでは、AWS CLI を使用して CloudTrail の SSE-KMS ログファイル暗号化を有効または無効にする方法を説明します。背景情報については、「AWS KMS で管理されたキー (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。

AWS CLI を使用して CloudTrail ログファイルの暗号化を有効にする

  1. AWS CLI を使用してキーを作成します。作成するキーは、CloudTrail ログファイルを受け取る S3 バケットと同じリージョンに配置する必要があります。この手順では、KMS create-key コマンドを使用します。

  2. 既存のキーポリシーを取得します。これを変更して CloudTrail で使用することができます。キーポリシーを取得するには、KMS get-key-policy コマンドを使用します。

  3. CloudTrail がログファイルを暗号化し、ユーザーがログファイルを復号化できるように、必要なセクションをキーポリシーに追加します。ログファイルを読むすべてのユーザーに、復号化のアクセス許可が与えられるようにしてください。ポリシーの既存のセクションは変更しないでください。追加するポリシーセクションの詳細については、「CloudTrail の AWS KMS キーポリシー」を参照してください。

  4. KMS put-key-policy コマンドを使用して、変更した .json ポリシーファイルをキーにアタッチします。

  5. CloudTrail の create-trail コマンドまたは update-trail コマンドに --kms-key-id パラメーターを指定して実行します。このコマンドは、ログの暗号化を有効にします。

    aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

    --kms-key-id パラメーターに、CloudTrail のためにポリシーを変更したキーを指定します。次の 4 つの形式のいずれかを指定できます。

    • エイリアス名。例: alias/MyAliasName

    • エイリアス ARN。例: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • キー ARN。例: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全体で一意のキー ID。 例: 12345678-1234-1234-1234-123456789012

    レスポンスは次のようになります。

    { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "my-bucket-name" }

    KmsKeyId 要素が存在するため、ログファイルの暗号化が有効になったことがわかります。暗号化されたログファイルは 10 分以内にバケットに含まれます。

AWS CLI を使用して CloudTrail ログファイルの暗号化を無効にする

ログの暗号化を停止するには、update-trail を呼び出して、空の文字列を kms-key-id パラメータに渡します。

aws cloudtrail update-trail --name Default --kms-key-id ""

レスポンスは次のようになります。

{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "my-bucket-name" }

KmsKeyId 要素がないため、ログファイルの暗号化が有効でなくなったことがわかります。