翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail コンソールで作成されたデフォルトの KMS キーポリシー
CloudTrail コンソール AWS KMS key で を作成すると、次のポリシーが自動的に作成されます。このポリシーでは、次の権限が付与されます。
-
KMS キーの許可 AWS アカウント (ルート) を許可します。
-
CloudTrail が KMS キーでログファイルとダイジェストファイルを暗号化し、KMS キーを記述できるようにします。
-
指定されたアカウントのすべてのユーザーがログファイルとダイジェストファイルを復号できるようにします。
-
指定されたアカウント内のすべてのユーザーが KMS キーの KMS エイリアスを作成する権限を付与する
-
証跡を作成したアカウントのアカウント ID に対するクロスアカウントログ復号化を有効にします。
証跡のデフォルト KMS キーポリシー
以下は、証跡 AWS KMS key で使用する 用に作成されたデフォルトのポリシーです。
このポリシーには、クロスアカウントが KMS キーを使用してログファイルとダイジェストファイルを復号化できるようにするステートメントが含まれています。
- JSON
-
-
{
"Version": "2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111
:root",
"arn:aws:iam::111111111111
:user/username
"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1
:111111111111
:trail/trail-name
"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111
:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111
"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111
:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111
"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111
:trail/*"
}
}
}
]
}
CloudTrail Lake イベントデータストアのデフォルト KMS キーポリシー
以下は、CloudTrail Lake のイベントデータストア AWS KMS key で使用する 用に作成されたデフォルトのポリシーです。
- JSON
-
-
{
"Version": "2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111
:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111
:assumed-role/example-role-name
"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}