CloudTrail コンソールで作成されたデフォルトの KMS キーポリシー

CloudTrail コンソールで AWS KMS key を作成すると、次のポリシーが自動的に作成されます。このポリシーでは、次の権限が付与されます。

KMS キーの AWS アカウント (ルート) 権限を付与する
CloudTrail に KMS キーのログファイルの暗号化と、KMS キーの記述を許可します。
指定されたアカウント内のすべてのユーザーがログファイルを復号する権限を付与する
指定されたアカウント内のすべてのユーザーが KMS キーの KMS エイリアスを作成する権限を付与する
証跡を作成したアカウントのアカウント ID に対するクロスアカウントログ復号化を有効にします。


{
    "Version": "2012-10-17",
    "Id": "Key policy created by CloudTrail",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {"AWS": [
                "arn:aws:iam::account-id:root",
                "arn:aws:iam::account-id:user/username"
            ]},
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow CloudTrail to encrypt logs",
            "Effect": "Allow",
            "Principal": {"Service": ["cloudtrail.amazonaws.com"]},
            "Action": "kms:GenerateDataKey*",
            "Resource": "arn:aws:kms:Region:account_ID:key/key_ID",
            "Condition": {"StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"}}
        },
        {
            "Sid": "Allow CloudTrail to describe key",
            "Effect": "Allow",
            "Principal": {"Service": ["cloudtrail.amazonaws.com"]},
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:Region:account_ID:key/key_ID"
        },
        {
            "Sid": "Allow principals in the account to decrypt log files",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": [
                "kms:Decrypt",
                "kms:ReEncryptFrom"
            ],
            "Resource": "arn:aws:kms:Region:account_ID:key/key_ID",
            "Condition": {
                "StringEquals": {"kms:CallerAccount": "account-id"},
                "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"}
            }
        },
        {
            "Sid": "Allow alias creation during setup",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": "kms:CreateAlias",
            "Resource": "arn:aws:kms:Region:account_ID:key/key_ID",
            "Condition": {"StringEquals": {
                "kms:ViaService": "ec2.region.amazonaws.com",
                "kms:CallerAccount": "account-id"
            }}
        },
        {
            "Sid": "Enable cross account log decryption",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": [
                "kms:Decrypt",
                "kms:ReEncryptFrom"
            ],
            "Resource": "arn:aws:kms:Region:account_ID:key/key_ID",
            "Condition": {
                "StringEquals": {"kms:CallerAccount": "account-id"},
                "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"}
            }
        }
    ]
}

注記

ポリシーの最終的なステートメントにより、クロスアカウントはログファイルを KMS キーで復号する権限が付与されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudTrail の AWS KMS キーポリシーの設定

KMS キーを使用するために証跡を更新する