キー管理 - AWS Deadline クラウド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キー管理

新しいファームを作成するときは、次のいずれかのキーを選択してファームデータを暗号化できます。

  • AWS 所有KMSキー – ファームの作成時にキーを指定しない場合のデフォルトの暗号化タイプ。KMS キーは によって所有されます。 AWS Deadline Cloud。 を表示、管理、または使用できない AWS 所有キー。ただし、データを暗号化するキーを保護するためにアクションを実行する必要はありません。詳細については、「」を参照してくださいAWS の 所有キー AWS Key Management Service デベロッパーガイド

  • カスタマーマネージドKMSキー – ファームの作成時にカスタマーマネージドキーを指定します。ファーム内のすべてのコンテンツは KMSキーで暗号化されます。キーは アカウントに保存され、 と によって作成、所有、管理されます。 AWS KMS 料金が適用されます。KMS キーを完全に制御できます。次のようなタスクを実行できます。

    • キーポリシーの確立と維持

    • IAM ポリシーと許可の確立と維持

    • キーポリシーの有効化と無効化

    • タグの追加

    • キーエイリアスの作成

    で使用されているカスタマー所有のキーを手動でローテーションすることはできません。 Deadline Cloud ファーム。キーの自動ローテーションがサポートされています。

    詳細については、「」の「カスタマー所有キー」を参照してください。 AWS Key Management Service デベロッパーガイド

    カスタマーマネージドキーを作成するには、「」の「対称カスタマーマネージドキーの作成」の手順に従います。 AWS Key Management Service デベロッパーガイド

その方法は? Deadline Cloud use AWS KMS 許可

Deadline Cloud には、カスタマーマネージドキーを使用するための許可が必要です。カスタマーマネージドキーで暗号化されたファームを作成すると、 Deadline Cloud は、 にCreateGrantリクエストを送信して、ユーザーに代わって許可を作成します。 AWS KMS は、指定したKMSキーへのアクセスを取得します。

Deadline Cloud は複数の許可を使用します。各グラントは、 の異なる部分によって使用されます。 Deadline Cloud は、データを暗号化または復号する必要があります。 Deadline Cloud また、 は権限を使用して他の へのアクセスを許可します。 AWS Amazon Simple Storage Service、Amazon Elastic Block Store、 など、ユーザーに代わってデータを保存するために使用される サービス OpenSearch。

を有効にする権限 Deadline Cloud サービスマネージドフリート内のマシンを管理するには、 Deadline Cloud サービスプリンシパルGranteePrincipalの代わりに の アカウント番号とロール。これは一般的ではありませんが、ファームに指定されたカスタマーマネージドKMSキーを使用して、サービスマネージドフリートのワーカーの Amazon EBSボリュームを暗号化するために必要です。

お客様が管理する キーポリシー

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。各キーには、キーを使用できるユーザーとその使用方法を決定するステートメントを含むキーポリシーが 1 つだけ必要です。カスタマーマネージドキーを作成するときに、キーポリシーを指定できます。詳細については、「」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。 AWS Key Management Service デベロッパーガイド

の最小IAMポリシー CreateFarm

コンソールまたは CreateFarmAPIオペレーションを使用してファームを作成するには、カスタマーマネージドキーを使用します。 AWS KMS API オペレーションは許可する必要があります。

  • kms:CreateGrant - カスタマーマネージドキーに許可を追加します。指定された へのコンソールアクセスを許可します AWS KMS キー。詳細については、「 での許可の使用」を参照してください。 AWS Key Management Service デベロッパーガイド

  • kms:Decrypt – 許可 Deadline Cloud ファーム内のデータを復号する 。

  • kms:DescribeKey – 許可するカスタマーマネージドキーの詳細を提供します。 Deadline Cloud キーを検証します。

  • kms:GenerateDataKey – 許可 Deadline Cloud 一意のデータキーを使用してデータを暗号化する 。

次のポリシーステートメントは、 CreateFarmオペレーションに必要なアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeadlineCreateGrants", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "arn:aws::kms:us-west-2:111122223333:key/1234567890abcdef0", "Condition": { "StringEquals": { "kms:ViaService": "deadline.us-west-2.amazonaws.com" } } } ] }

読み取り専用オペレーションの最小IAMポリシー

カスタマーマネージドキーを読み取り専用で使用するには Deadline Cloud ファーム、キュー、フリートに関する情報の取得などの オペレーション。以下のようになります AWS KMS API オペレーションは許可する必要があります。

  • kms:Decrypt – 許可 Deadline Cloud ファーム内のデータを復号する 。

  • kms:DescribeKey – 許可するカスタマーマネージドキーの詳細を提供します。 Deadline Cloud キーを検証します。

次のポリシーステートメントは、読み取り専用オペレーションに必要なアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeadlineReadOnly", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Condition": { "StringEquals": { "kms:ViaService": "deadline.us-west-2.amazonaws.com" } } } ] }

読み取り/書き込みオペレーションの最小IAMポリシー

カスタマーマネージドキーを読み取り/書き込みに使用するには Deadline Cloud ファーム、キュー、フリートの作成や更新などの オペレーション。以下のようになります AWS KMS API オペレーションは許可する必要があります。

  • kms:Decrypt – 許可 Deadline Cloud ファーム内のデータを復号する 。

  • kms:DescribeKey – 許可するカスタマーマネージドキーの詳細を提供します。 Deadline Cloud キーを検証します。

  • kms:GenerateDataKey – 許可 Deadline Cloud 一意のデータキーを使用してデータを暗号化する 。

次のポリシーステートメントは、 CreateFarmオペレーションに必要なアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeadlineReadWrite", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", ], "Resource": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Condition": { "StringEquals": { "kms:ViaService": "deadline.us-west-2.amazonaws.com" } } } ] }

暗号化キーのモニタリング

を使用する場合 AWS KMS での カスタマーマネージドキー Deadline Cloud ファームでは、 AWS CloudTrail または Amazon CloudWatch Logs を使用して、 Deadline Cloud が に送信する AWS KMS.

CloudTrail グラントの イベント

次の例の CloudTrail イベントは、許可が作成されたときに発生します。通常はCreateFarm、、CreateMonitor、または CreateFleetオペレーションを呼び出すときに発生します。

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01", "arn": "arn:aws::sts::111122223333:assumed-role/Admin/SampleUser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE3", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws::iam::111122223333:role/Admin", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-04-23T02:05:26Z", "mfaAuthenticated": "false" } }, "invokedBy": "deadline.amazonaws.com" }, "eventTime": "2024-04-23T02:05:35Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "deadline.amazonaws.com", "userAgent": "deadline.amazonaws.com", "requestParameters": { "operations": [ "CreateGrant", "Decrypt", "DescribeKey", "Encrypt", "GenerateDataKey" ], "constraints": { "encryptionContextSubset": { "aws:deadline:farmId": "farm-abcdef12345678900987654321fedcba", "aws:deadline:accountId": "111122223333" } }, "granteePrincipal": "deadline.amazonaws.com", "keyId": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "retiringPrincipal": "deadline.amazonaws.com" }, "responseElements": { "grantId": "6bbe819394822a400fe5e3a75d0e9ef16c1733143fff0c1fc00dc7ac282a18a0", "keyId": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "readOnly": false, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE44444" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }

CloudTrail 復号化の イベント

次の CloudTrail イベント例は、カスタマーマネージドKMSキーを使用して値を復号するときに発生します。

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01", "arn": "arn:aws::sts::111122223333:assumed-role/SampleRole/SampleUser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws::iam::111122223333:role/SampleRole", "accountId": "111122223333", "userName": "SampleRole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-04-23T18:46:51Z", "mfaAuthenticated": "false" } }, "invokedBy": "deadline.amazonaws.com" }, "eventTime": "2024-04-23T18:51:44Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "deadline.amazonaws.com", "userAgent": "deadline.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:deadline:farmId": "farm-abcdef12345678900987654321fedcba", "aws:deadline:accountId": "111122223333", "aws-crypto-public-key": "AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==" }, "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "responseElements": null, "requestID": "aaaaaaaa-bbbb-cccc-dddd-eeeeeeffffff", "eventID": "ffffffff-eeee-dddd-cccc-bbbbbbaaaaaa", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }

CloudTrail 暗号化の イベント

次の CloudTrail イベント例は、カスタマーマネージドKMSキーを使用して値を暗号化するときに発生します。

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01", "arn": "arn:aws::sts::111122223333:assumed-role/SampleRole/SampleUser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws::iam::111122223333:role/SampleRole", "accountId": "111122223333", "userName": "SampleRole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2024-04-23T18:46:51Z", "mfaAuthenticated": "false" } }, "invokedBy": "deadline.amazonaws.com" }, "eventTime": "2024-04-23T18:52:40Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "deadline.amazonaws.com", "userAgent": "deadline.amazonaws.com", "requestParameters": { "numberOfBytes": 32, "encryptionContext": { "aws:deadline:farmId": "farm-abcdef12345678900987654321fedcba", "aws:deadline:accountId": "111122223333", "aws-crypto-public-key": "AotL+SAMPLEVALUEiOMEXAMPLEaaqNOTREALaGTESTONLY+p/5H+EuKd4Q==" }, "keyId": "arn:aws::kms:us-west-2:111122223333:key/abcdef12-3456-7890-0987-654321fedcba" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws::kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }

カスタマーマネージドKMSキーの削除

でのカスタマーマネージドKMSキーの削除 AWS Key Management Service (AWS KMS) は破壊的であり、潜在的に危険です。これにより、キーマテリアルとキーに関連付けられているすべてのメタデータが削除され、元に戻すことはできません。カスタマーマネージドKMSキーが削除されると、そのキーによって暗号化されたデータを復号できなくなります。これは、データが回復不能になることを意味します。

これが AWS KMS は、 KMSキーを削除する前に、最大 30 日間の待機期間をお客様に付与します。デフォルトの待機時間は、30 日です。

待機期間について

カスタマーマネージドKMSキーの削除は破壊的で潜在的に危険であるため、7~30 日間の待機期間を設定する必要があります。デフォルトの待機時間は、30 日です。

ただし、実際の待機期間は、スケジュールした期間よりも最大 24 時間長くなる場合があります。キーが削除される実際の日時を取得するには、 DescribeKey オペレーション。また、 でキーの削除予定日を確認することもできます。 AWS KMS「 全般の設定」セクションのキーの詳細ページの コンソール。タイムゾーンに注意してください。

削除の待機期間中は、カスタマーマネージドキーのステータスおよびキーの状態が削除保留中になります。

カスタマーマネージドKMSキーの削除の詳細については、「」の「カスタマーマスターキーの削除」を参照してください。 AWS Key Management Service デベロッパーガイド