翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このトピックでは、AWS CLI を使用して CloudTrail の SSE-KMS ログファイル暗号化を有効または無効にする方法を説明します。背景情報については、「AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)」を参照してください。
AWS CLI を使用して CloudTrail ログファイルの暗号化を有効にする
証跡のログファイル暗号化を有効にする
-
AWS CLI を使用してキーを作成します。作成するキーは、CloudTrail ログファイルを受け取る S3 バケットと同じリージョンに配置する必要があります。このステップでは、AWS KMS create-key コマンドを使用します。
-
既存のキーポリシーを取得します。これを変更して CloudTrail で使用することができます。AWS KMS get-key-policy コマンドを使用してキーポリシーを取得できます。
-
CloudTrail がログファイルを暗号化し、ユーザーがログファイルを復号できるように、必要なセクションをキーポリシーに追加します。ログファイルを読むすべてのユーザーに、復号許可が付与されているようにしてください。ポリシーの既存のセクションを変更しないでください。追加するポリシーセクションの詳細については、「CloudTrail の AWS KMS キーポリシーを設定する」を参照してください。
-
AWS KMS put-key-policy コマンドを使用して、変更した JSON ポリシーファイルをキーにアタッチします。
-
--kms-key-idパラメーターで、CloudTrailcreate-trailまたはupdate-trailコマンドを実行します。このコマンドは、ログの暗号化を有効にします。aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey--kms-key-idパラメーターに、CloudTrail のためにポリシーを変更したキーを指定します。次のいずれかの形式を指定できます。-
エイリアス名。例:
alias/MyAliasName -
エイリアス ARN。例:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
キー ARN。例:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012 -
全体で一意のキー ID。例:
12345678-1234-1234-1234-123456789012
以下に、応答の例を示します。
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "amzn-s3-demo-bucket" }KmsKeyId要素が存在するため、ログファイルの暗号化が有効になったことがわかります。暗号化されたログファイルは約 5 分以内にバケットに表示されます。 -
イベントデータストアのログファイル暗号化を有効にする
-
AWS CLI を使用してキーを作成します。作成するキーは、イベントデータストアと同一のリージョンにある必要があります。このステップでは、AWS KMS create-key コマンドを実行します。
-
CloudTrail で使用するために編集する既存のキーポリシーを取得します。AWS KMS get-key-policy コマンドを実行して、キーポリシーを取得できます。
-
CloudTrail がログファイルを暗号化し、ユーザーがログファイルを復号できるように、必要なセクションをキーポリシーに追加します。ログファイルを読むすべてのユーザーに、復号許可が付与されているようにしてください。ポリシーの既存のセクションを変更しないでください。追加するポリシーセクションの詳細については、「CloudTrail の AWS KMS キーポリシーを設定する」を参照してください。
-
AWS KMS put-key-policy コマンドを実行して、編集した JSON ポリシー ファイルをキーにアタッチします。
-
CloudTrail
create-event-data-storeまたはupdate-event-data-storeコマンドを実行し、--kms-key-idパラメータを追加します。このコマンドは、ログの暗号化を有効にします。aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey--kms-key-idパラメーターに、CloudTrail のためにポリシーを変更したキーを指定します。次の 4 つの形式のいずれかを指定できます。-
エイリアス名。例:
alias/MyAliasName -
エイリアス ARN。例:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
キー ARN。例:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 -
全体で一意のキー ID。例:
12345678-1234-1234-1234-123456789012
以下に、応答の例を示します。
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }KmsKeyId要素が存在するため、ログファイルの暗号化が有効になったことがわかります。暗号化されたログファイルは、約 5 分でイベントデータストアに表示されます。 -
AWS CLI を使用してCloudTrail ログファイルの暗号化を無効にする
証跡でのログの暗号化を停止するには、update-trail を実行して、空の文字列を kms-key-id パラメータに渡します。
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
以下に、応答の例を示します。
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "amzn-s3-demo-bucket" }
KmsKeyId の値がないため、ログファイルの暗号化が有効でなくなったことがわかります。
重要
イベントデータストアでのログファイル暗号化を停止することはできません。
