AWS CloudTrail
ユーザーガイド (Version 1.0)

CloudTrail コンソールで作成されたデフォルトのキーポリシー

CloudTrail コンソールでカスタマーマスターキー (CMK) を作成すると、次のポリシーが自動的に作成されます。このポリシーでは、次の権限が付与されます。

  • CMK の AWS アカウント (ルート) 権限を付与する

  • CloudTrail が CMK でログファイルを暗号化し、CMK を記述する権限を付与する

  • 指定されたアカウント内のすべてのユーザーがログファイルを復号する権限を付与する

  • 指定されたアカウント内のすべてのユーザーが CMK の KMS エイリアスを作成する権限を付与する

  • 証跡を作成したアカウントのアカウント ID に対するクロスアカウントログ復号化を有効にします。

{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::aws-account-id:root", "arn:aws:iam::aws-account-id:user/username" ]}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": {"StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"}} }, { "Sid": "Allow CloudTrail to describe key", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow principals in the account to decrypt log files", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"} } }, { "Sid": "Allow alias creation during setup", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": "kms:CreateAlias", "Resource": "*", "Condition": {"StringEquals": { "kms:ViaService": "ec2.region.amazonaws.com", "kms:CallerAccount": "aws-account-id" }} }, { "Sid": "Enable cross account log decryption", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"} } } ] }

注記

ポリシーの最終的なステートメントにより、クロスアカウントはログファイルを CMK で復号する権限が付与されます。