KMS キーのガイダンス

AWS Control Tower は AWS Key Management Service () と連携しますAWS KMS。必要に応じて、管理している暗号化キーを使用して AWS Control Tower リソースを暗号化および復号する場合は、 を生成して設定できます AWS KMS keys。ランディングゾーンを更新するたびに、KMSキーを追加または変更できます。ベストプラクティスとして、独自のKMSキーを使用し、適宜変更することをお勧めします。

AWS KMS では、マルチリージョンKMSキーと非対称キーを作成できます。ただし、AWSControl Tower はマルチリージョンキーまたは非対称キーをサポートしていません。AWS Control Tower は、既存のキーの事前チェックを実行します。マルチリージョンキーまたは非対称キーを選択すると、エラーメッセージが表示されることがあります。この場合、AWSControl Tower リソースで使用する別のキーを生成します。

AWS CloudHSM クラスターを運用する顧客の場合： CloudHSM クラスターに関連付けられたカスタムキーストアを作成します。その後、作成した CloudHSM カスタムKMSキーストアにあるキーを作成できます。このKMSキーは AWS Control Tower に追加できます。

AWS Control Tower と連携させるには、KMSキーのアクセス許可ポリシーに特定の更新を行う必要があります。詳細については、「KMS キーポリシーを更新する」セクションを参照してください。