KMS キーのガイダンス

AWS Control Tower は AWS Key Management Service () で動作しますAWS KMS。オプションで、管理する暗号化キーを使用して AWS Control Tower リソースを暗号化および復号化する場合は、 AWS KMS keysを生成して構成できます。KMS キーは、ランディングゾーンを更新するたびに追加または変更できます。ベストプラクティスとして、独自の KMS キーを使用し、時々変更することをお勧めします。

AWS KMS では、マルチリージョン KMS キーと非対称キーを作成できます。ただし、AWS Control Tower は、マルチリージョンキーまたは非対称キーをサポートしていません。AWS Control Tower は、既存のキーの事前チェックを実行します。マルチリージョンキーまたは非対称キーを選択すると、エラーメッセージが表示されることがあります。その場合は、AWS Control Tower リソースで使用する別のキーを生成してください。

AWS CloudHSM クラスターを運用するお客様向け： CloudHSM クラスターに関連付けられたカスタムキーストアを作成します。次に、作成した CloudHSM カスタムキーストアにある KMS キーを作成できます。この KMS キーを AWS Control Tower に追加できます。

KMS キーのアクセス許可ポリシーを AWS Control Tower で動作させるには、特定の更新を行う必要があります。詳細については、「KMS キーポリシーを更新する」セクションを参照してください。