セッションデータの KMS キー暗号化を有効にする (コンソール)
AWS Key Management Service (AWS KMS)を使用して暗号化キーを作成および管理します。AWS KMS では、幅広い AWS のサービスおよびアプリケーションでの暗号化の使用を制御できます。マネーマネージドノードと AWS アカウント 内のユーザーのローカルマシン間で送信されるセッションデータが、KMS キー暗号化プログラムで暗号化されることを指定できます。(これは AWS が既にデフォルトで提供している TLS 1.2/1.3 暗号化に追加されています)。Session Manager セッションデータを暗号化するには、AWS KMS を使用して対称 KMS キーを作成します。
AWS KMS 暗号化は Standard_Stream
、InteractiveCommands
、NonInteractiveCommands
セッションタイプで使用できます。AWS KMS で作成したキーでセッションデータを暗号化するオプションを使用する場合、AWS Systems Manager SSM Agent におけるバージョンが 2.3.539.0 以降がマネージドノードにインストールされている必要があります。
注記
AWS Systems Manager コンソールからマネージドノードのパスワードをリセットするため、AWS KMS 暗号化を有効にする必要があります。詳細については、「マネージドノードでパスワードをリセットする」を参照してください。
に作成したキーを使用できますAWS アカウント また、別の で作成されたキーを使用することもできますAWS アカウント 別の AWS アカウント でのキーの作成者はキーを使用するために必要なアクセス許可をユーザーに提供する必要があります。
セッションデータの KMS キー暗号化を有効にすると、セッションを開始するユーザーとそのユーザーが接続するマネージドノードの両方が、キーを使用する許可が必要になります。AWS Identity and Access Management (IAM) ポリシーを使用して、Session Manager で KMS キーを使用するアクセス許可を付与します。詳細については、以下のトピックを参照してください。
-
アカウント内のユーザーに AWS KMS アクセス権限を追加します: Session Manager のサンプル IAM ポリシー。
-
アカウント内のマネージドノードに AWS KMS 権限を追加します: ステップ 2: Session Manager のインスタンスのアクセス権限の確認または追加。
KMS キーの作成と管理の詳細については、AWS Key Management Service デベロッパーガイドを参照してください。
AWS CLI を使用してアカウントのセッションデータの KMS キー暗号化を有効にする方法については、「Session Manager 設定の更新 (コマンドライン)」または「Session Manager プリファレンスドキュメントを作成する (コマンドライン)」を参照してください。
注記
KMS キーの使用には料金が発生します。詳細については、「AWS Key Management Service の料金表
セッションデータの KMS キー暗号化を有効にするには (コンソール)
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[Session Manager] を選択します。
-
[設定] タブを選択してから、[編集] を選択します。
-
KMS 暗号化を有効にするの隣のチェックボックスをオンにします。
-
次のいずれかを行います。
-
[現在のアカウントの KMS キーを選択] の横にあるボタンを選択して、リストからキーを選択します。
-または-
[KMS キーエイリアスまたはKMS キー ARN の入力] の横のボタンをクリックします。現在のアカウントで作成されたキーの KMS キーエイリアスを手動で入力するか、別のアカウントのキーのキー Amazon リソースネーム (ARN) を入力します。次に例を示します。
-
キーエイリアス:
alias/my-kms-key-alias
-
キー ARN:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE
-または-
[Create new key] (新しいキーを作成) を選択して、アカウントに新しい KMS キーを作成します。新しいキーを作成した後、[Preferences (設定)] タブに戻り、アカウントのセッションデータを暗号化するためのキーを選択します。
-
キーの共有の詳細については、AWS Key Management Service デベロッパーガイドの外部 AWS アカウント のキーへのアクセスの許可を参照してください。
-
-
[Save] を選択します。