AWS CloudTrail
ユーザーガイド (Version 1.0)

CMK を使用するために証跡を更新する

CloudTrail で変更したカスタマーマスタキー (CMK) を使用するために証跡を更新するには、CloudTrail コンソールで次の手順を完了します。

注記

以下の手順を使用して証跡を更新すると、ログファイルが暗号化されますが、SSE-KMS を使用したダイジェストファイルは暗号化されません。ダイジェストファイルは、Amazon S3 で管理された暗号化キー (SSE-S3) を使用して暗号化されます。

AWS CLI を使用して証跡を更新するには、「AWS CLI を使用して CloudTrail ログファイルの暗号化の有効と無効を切り替える」を参照してください。

CMK を使用するために証跡を更新するには

  1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。

  2. [Trails] を選択し、証跡を選択します。

  3. [Storage location] で、鉛筆アイコンを選択します。

  4. [SSE-KMS を使用してログファイルを暗号化] で [はい] を選択し、CloudTrail が CMK でログファイルを暗号化するようにします。

  5. [Create a new KMS key] で、[No] を選択します。

  6. [KMS key] の場合は、CloudTrail で使用するために変更したポリシーを持つ CMK のエイリアスを選択します。

    注記

    ログファイルを受け取る S3 バケットと同じリージョンにある CMK を選択します。S3 バケットのリージョンを確認するには、S3 コンソールでそのプロパティを確認します。

    エイリアス名、ARN、グローバルに一意のキー ID を入力できます。CMK が、別のアカウントに属している場合は、そのキーポリシーに使用可能なアクセス権限があることを確認します。値は、以下の形式のいずれかになります。

    • エイリアス名: alias/MyAliasName

    • エイリアス ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • キー ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • グローバルに一意のキー ID: 12345678-1234-1234-1234-123456789012

  7. [保存] を選択します。

    注記

    選択した CMK が無効になっているか、削除が保留されている場合は、その CMK で証跡を保存することはできません。CMK を有効にするか、別の CMK を選択できます。詳細については、「キーステータスがカスタマーマスターキーの使用に与える影響」を参照してください。