AWS KMS keysの設定 (任意) - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS keysの設定 (任意)

AWS KMS 暗号化キーを使用してリソースを暗号化および復号する場合は、チェックボックスをオンにします。既存のキーがある場合は、ドロップダウンメニューに表示される識別子からキーを選択できます。[Create a key] (キーの作成) を選択して、新しいキーを生成できます。ランディングゾーンを更新するたびに、KMSキーを追加または変更できます。

ランディングゾーンの設定 を選択すると、AWSControl Tower は事前チェックを実行してKMSキーを検証します。キーは、以下の条件を満たす必要があります。

  • 有効

  • 対称

  • マルチリージョンキーではない

  • ポリシーに正しい許可が追加されている

  • キーが管理アカウントにある

キーがこれらの要件を満たしていない場合は、エラーバナーが表示されることがあります。その場合は、別のキーを選択するか、キーを生成します。次のセクションで説明するように、必ずキーの許可ポリシーを編集してください。

KMS キーポリシーを更新する

KMS キーポリシーを更新する前に、KMSキーを作成する必要があります。詳細については、「AWS Key Management Service デベロッパーガイド」の「キーポリシーの作成」を参照してください。

AWS Control Tower でKMSキーを使用するには、 AWS Config と に必要な最小限のアクセス許可を追加して、デフォルトのKMSキーポリシーを更新する必要があります AWS CloudTrail。ベストプラクティスとして、どのポリシーでも必要最小限のアクセス許可を付与することをお勧めします。KMS キーポリシーを更新するときは、アクセス許可を 1 つのJSONステートメントまたは行ごとにグループとして追加できます。

この手順では、 AWS Config および を暗号化 CloudTrail AWS KMS に使用するポリシーステートメントを追加して、 AWS KMS コンソールでデフォルトのKMSキーポリシーを更新する方法について説明します。ポリシーステートメントには、次の情報を含める必要があります。

  • YOUR-MANAGEMENT-ACCOUNT-ID – AWS Control Tower が設定される管理アカウントの ID。

  • YOUR-HOME-REGION – AWS Control Tower のセットアップ時に選択するホームリージョン。

  • YOUR-KMS-KEY-ID – ポリシーで使用されるKMSキー ID。

KMS キーポリシーを更新するには
  1. で AWS KMS コンソールを開く https://console.aws.amazon.com/kms

  2. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  3. テーブルで、編集するキーを選択します。

  4. [キーポリシー] タブで、キーポリシーを表示できることを確認します。キーポリシーが表示されない場合は、[ポリシービューへの切り替え] を選択します。

  5. の編集 を選択し、 と に AWS Config 次のポリシーステートメントを追加して、デフォルトのKMSキーポリシーを更新します CloudTrail。

    AWS Config ポリシーステートメント

    { "Sid": "Allow Config to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID" }

    CloudTrail ポリシーの統計

    { "Sid": "Allow CloudTrail to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail" }, "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*" } } }
  6. [Save changes] (変更の保存) をクリックします。

KMSキーポリシーの例

次のポリシーの例は、 が付与するポリシーステートメント AWS Config と CloudTrail 最低限必要なアクセス許可を追加した後のKMSキーポリシーの状態を示しています。サンプルポリシーには、デフォルトのKMSキーポリシーは含まれません。

{ "Version": "2012-10-17", "Id": "CustomKMSPolicy", "Statement": [ { ... YOUR-EXISTING-POLICIES ... }, { "Sid": "Allow Config to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID" }, { "Sid": "Allow CloudTrail to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail" }, "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*" } } } ] }

その他のポリシーの例については、以下のページを参照してください。

攻撃者からの保護

ポリシーに特定の条件を追加することで、混乱した代理攻撃と呼ばれる特定のタイプの攻撃を防ぐことができます。これは、クロスサービス偽装など、エンティティが、より特権のあるエンティティにアクションを実行させる場合に発生します。ポリシー条件に関する一般的な情報については、「ポリシーでの条件の指定」も参照してください。

AWS Key Management Service (AWS KMS) では、マルチリージョンKMSキーと非対称キーを作成できますが、AWSControl Tower はマルチリージョンキーまたは非対称キーをサポートしていません。AWS Control Tower は、既存のキーの事前チェックを実行します。マルチリージョンキーまたは非対称キーを選択すると、エラーメッセージが表示されることがあります。この場合、AWSControl Tower リソースで使用する別のキーを生成します。

の詳細については AWS KMS、AWS KMS 「 デベロッパーガイド」を参照してください。

AWS Control Tower の顧客データは、デフォルトで SSE-S3 を使用して保管時に暗号化されることに注意してください。