CMK を使用するために証跡を更新する - AWS CloudTrail

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

CMK を使用するために証跡を更新する

CloudTrail で変更したカスタマーマスタキー (CMK) を使用するために証跡を更新するには、CloudTrail コンソールで次の手順を完了します。

注記

以下の手順を使用して証跡を更新すると、ログファイルが暗号化されますが、SSE-KMS を使用したダイジェストファイルは暗号化されません。ダイジェストファイルは、Amazon S3 で管理された暗号化キー (SSE-S3) を使用して暗号化されます。

AWS CLI を使用して証跡を更新するには、「AWS CLI を使用して CloudTrail ログファイルの暗号化の有効と無効を切り替える」を参照してください。

CMK を使用するために証跡を更新するには

  1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。

  2. [Trails (証跡)] を選択し、証跡名を選択します。

  3. [General details] (全般的な詳細) で、[Edit] (編集) を選択します

  4. ログファイル SSE-KMS 暗号化に対して、まだ有効になっていない場合は、[Enabled (有効)] を選択して、SSE-S3 ではなく SSE-KMS でログファイルを暗号化します。デフォルトは [Enabled] です。この暗号化タイプの詳細については、「 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータAmazon S3の保護」を参照してください

    カスタマーマスターキーで証跡を更新するには、[Existing] を選択します。AWS KMSログファイルを受け取る S3 バケットと同じリージョンにある CMK を選択します。S3 バケットのリージョンを確認するには、S3 コンソールでそのプロパティを確認します。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、CMK を使用するために証跡を更新する を参照してください。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、CloudTrail の AWS KMS キーポリシーの設定 を参照してください。

    [AWS KMSAlias] (エイリアス) でCloudTrail、 で使用するポリシーを変更したエイリアスを、 の形式で指定します。alias/MyAliasName詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    エイリアス名、ARN、グローバルに一意のキー ID を入力できます。CMK が、別のアカウントに属している場合は、そのキーポリシーに使用可能なアクセス権限があることを確認します。値は、以下の形式のいずれかになります。

    • エイリアス名: alias/MyAliasName

    • エイリアス ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • キー ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • グローバルに一意のキー ID: 12345678-1234-1234-1234-123456789012

  5. [Update trail (証跡の更新)] を選択します

    注記

    選択した CMK が無効になっているか、削除が保留されている場合は、その CMK で証跡を保存することはできません。CMK を有効にするか、別の CMK を選択できます。詳細については、 開発者ガイドの「キーステータスがカスタマーマスターキーの使用に与える影響」を参照してください。AWS Key Management Service