KMS キーを使用するために証跡を更新する - AWS CloudTrail

KMS キーを使用するために証跡を更新する

CloudTrail で変更した AWS KMS key を使用するために証跡を更新するには、CloudTrail コンソールで次の手順を完了します。

注記

以下の手順を使用して証跡を更新すると、ログファイルが暗号化されますが、SSE-KMS を使用したダイジェストファイルは暗号化されません。ダイジェストファイルは、Amazon S3 で管理された暗号化キー (SSE-S3) を使用して暗号化されます。

S3 バケットキーで既存の S3 バケットを使用している場合は、CloudTrail は AWS KMS アクション GenerateDataKey および DescribeKey を使用する、キーポリシーの許可を付与されていなければなりません。もし cloudtrail.amazonaws.com にキーポリシーの許可が与えられていない場合、証跡の作成や更新は行なえません。

AWS CLI を使用して証跡を更新するには、「AWS CLI を使用して CloudTrail ログファイルの暗号化の有効と無効を切り替える」を参照してください。

KMS キーを使用するために証跡を更新するには

  1. AWS Management Console にサインインし、CloudTrail コンソールを開きます (https://console.aws.amazon.com/cloudtrail/)

  2. [Trails] を選択し、証跡名を選択します。

  3. [General details] で、[Edit] を選択します。

  4. [Log file SSE-KMS encryption] で、まだ有効になっていない場合は、[Enabled] で SSE-S3 ではなく SSE-KMS を使用してログファイルを暗号化します。デフォルトは [Enabled] です。この暗号化タイプの詳細については、「Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

    [Existing] を選択して AWS KMS key の証跡を更新します。ログファイルを受け取る S3 バケットと同じリージョンにある KMS キーを選択します。S3 バケットのリージョンを確認するには、S3 コンソールでそのプロパティを確認します。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「KMS キーを使用するために証跡を更新する」を参照してください。このキーポリシーは、CloudTrail がキーを使用してログファイルを暗号化し、指定したユーザーが暗号化されていない形式でログファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、CloudTrail の AWS KMS キーポリシーの設定 を参照してください。

    [AWS KMS エイリアス] で、CloudTrail で使用するポリシーを変更したエイリアスを、alias/ MyAliasName のフォーマットで指定します。詳細については、「KMS キーを使用するために証跡を更新する」を参照してください。

    エイリアス名、ARN、グローバルに一意のキー ID を入力できます。KMS キーが、別のアカウントに属している場合は、そのキーポリシーに使用可能なアクセス権限があることを確認します。値は、以下の形式のいずれかになります。

    • エイリアス名: alias/MyAliasName

    • エイリアス ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • キー ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • グローバルに一意のキー ID: 12345678-1234-1234-1234-123456789012

  5. [証跡の作成] を選択します。

    注記

    選択した KMS キーが無効になっているか、削除が保留されている場合は、その KMS キーで証跡を保存することはできません。KMS キーを有効にするか、別の CMK を選択できます。詳細については、AWS Key Management Service デベロッパーガイドの「キー状態: KMS キーへの影響」を参照してください。