翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrail の使用方法 AWS KMS
AWS CloudTrail を使用して の呼び出しやその他のアクティビティを記録 AWS API AWS アカウント し、記録した情報を選択した Amazon Simple Storage Service (Amazon S3) バケットのログファイルに保存できます。デフォルトでは、 が S3 バケット CloudTrail に配置するログファイルは、Amazon S3 が管理する暗号化キー (-S3) によるサーバー側の暗号化を使用して暗号化されますSSE-S3。ただし、代わりにKMSキー (SSE-) によるサーバー側の暗号化を使用することを選択できますKMS。で CloudTrail ログファイルを暗号化する方法については AWS KMS、 AWS CloudTrail ユーザーガイドのAWS KMS keys 「 (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。
重要
AWS CloudTrail および Amazon S3 は、対称 AWS KMS keysのみをサポートします。非対称KMSキーを使用して CloudTrail ログを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、「」を参照してください非対称 KMS キーの識別。
が SSE-KMS キーで暗号化されたログファイルを CloudTrail 読み取りまたは書き込みする場合、キー使用料は発生しません。ただし、 SSE-KMS キーで暗号化された CloudTrail ログファイルにアクセスする場合は、キー使用料が発生します。 AWS KMS 料金の詳細については、「 の料金AWS Key Management Service
KMS キーがいつ使用されるかを理解する
による CloudTrail ログファイルの暗号化 AWS KMS は、 (-) によるサーバー側の暗号化と呼ばれる Amazon S3 機能に基づいています AWS KMS key SSEKMS。SSE- の詳細についてはKMS、このガイドAmazon Simple Storage Service (Amazon S3) が AWS KMS を使用する方法の「」または Amazon Simple Storage Service ユーザーガイドのKMS「キーによるサーバー側の暗号化 (SSE-KMS) を使用したデータの保護」を参照してください。
SSE-KMS AWS CloudTrail を使用してログファイルを暗号化するように を設定する CloudTrail と、Amazon S3 はそれらのサービスで特定のアクションを実行 AWS KMS keys するときに を使用します。以下のセクションでは、これらのサービスがKMSキーをいつ、どのように使用できるかについて説明し、この説明を検証するために使用できる追加情報を提供します。
CloudTrail と Amazon S3 がKMSキーを使用する原因となるアクション
でログファイルを暗号化 CloudTrail するように を設定します。 AWS KMS key
KMS キー を使用するように設定を更新する CloudTrailと、 CloudTrail は にGenerateDataKey
リクエストを送信 AWS KMS して、KMSキーが存在し、それを暗号化に使用するアクセス許可 CloudTrail を持っていることを確認します。 は結果のデータキーを使用し CloudTrail ません。
GenerateDataKey
リクエストには、暗号化コンテキストの次の情報が含まれています。
-
CloudTrail 証跡の Amazon リソースネーム (ARN)
-
CloudTrail ログファイルARNが配信される S3 バケットとパスの 。
GenerateDataKey
リクエストの結果、次の例のようなエントリが CloudTrail ログに記録されます。このようなログエントリが表示されたら、 CloudTrail ( ) が特定の証跡 () の AWS KMS ( ) GenerateDataKey
オペレーション () を呼び出したと判断できます 。 が特定のキー ( ) の下にデータKMSキー AWS KMS を作成しました 。
注記
次のログエントリの例に示されているコールアウトの一部を表示するには、右にスクロールする必要があります。
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail", "accountId": "086441151436", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "AWSCloudTrail", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2015-11-11T21:15:33Z" }}, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-11-11T21:15:33Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAliasForCloudTrailKMS key", "encryptionContext": { "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default", "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/" }, "keySpec": "AES_256" }, "responseElements": null, "requestID": "581f1f11-88b9-11e5-9c9c-595a1fb59ac0", "eventID": "3cdb2457-c035-4890-93b6-181832b9e766", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333" }
CloudTrail はログファイルを S3 バケットに配置します。
CloudTrail がログファイルを S3 バケットに入れるたびに、Amazon S3 は AWS KMS に代わって にGenerateDataKey
リクエストを送信します CloudTrail。このリクエストに応答して、 は一意のデータキー AWS KMS を生成し、データキーのコピーを 2 つ Amazon S3 に送信します。1 つはプレーンテキストで、もう 1 つは指定されたKMSキーで暗号化されます。Amazon S3 は、プレーンテキストのデータキーを使用して CloudTrail ログファイルを暗号化し、使用後できるだけ早くプレーンテキストのデータキーをメモリから削除します。Amazon S3 は、暗号化されたデータキーを暗号化された CloudTrail ログファイルのメタデータとして保存します。
GenerateDataKey
リクエストには、暗号化コンテキストの次の情報が含まれています。
-
CloudTrail 証跡の Amazon リソースネーム (ARN)
-
S3 オブジェクトARNの ( CloudTrail ログファイル)
各GenerateDataKey
リクエストでは、次の例のようなエントリが CloudTrail ログに記録されます。このようなログエントリが表示されたら、 CloudTrail ( ) が特定の証跡 () の AWS KMS ( ) GenerateDataKey
オペレーション ( ) を呼び出して、特定のログファイル ( ) を保護するように決定できます 。 は、同じログエントリに 2 回表示される指定されたキー ( ) の下にデータKMSキー AWS KMS を作成しました。
注記
次のログエントリの例に示されているコールアウトの一部を表示するには、右にスクロールする必要があります。
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85", "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85", "accountId": "086441151436", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-11-11T20:45:25Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::086441151436:role/AWSCloudTrail", "accountId": "086441151436", "userName": "AWSCloudTrail" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-11-11T21:15:58Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default", "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz" }, "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "keySpec": "AES_256" }, "responseElements": null, "requestID": "66f3f74a-88b9-11e5-b7fb-63d925c72ffe", "eventID": "7738554f-92ab-4e27-83e3-03354b1aa898", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333" }
S3 バケットから暗号化されたログファイルを取得する
S3 バケットから暗号化された CloudTrail ログファイルを取得するたびに、Amazon S3 は AWS KMS ユーザーに代わって にDecrypt
リクエストを送信し、ログファイルの暗号化されたデータキーを復号します。このリクエストに応答して、 AWS KMS はKMSキーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon S3 に送信します。Amazon S3 は、プレーンテキストのデータキーを使用して CloudTrail ログファイルを復号し、使用後できるだけ早くプレーンテキストのデータキーをメモリから削除します。
Decrypt
リクエストには、暗号化コンテキストの次の情報が含まれています。
-
CloudTrail 証跡の Amazon リソースネーム (ARN)
-
S3 オブジェクトARNの ( CloudTrail ログファイル)
各Decrypt
リクエストでは、次の例のようなエントリが CloudTrail ログに記録されます。このようなログエントリが表示されたら、 AWS アカウント ( ) のユーザーが特定の証跡 () および特定のログファイル ( ) に対して AWS KMS ( ) Decrypt
オペレーションを呼び出したと判断できます 。 は、特定のキー ( ) でデータKMSキーを復 AWS KMS 号化しました 。
注記
次のログエントリの例に示されているコールアウトの一部を表示するには、右にスクロールする必要があります。
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "cloudtrail-admin", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2015-11-11T20:48:04Z" }}, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2015-11-11T21:20:52Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default", "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz" } }, "responseElements": null, "requestID": "16a0590a-88ba-11e5-b406-436f15c3ac01", "eventID": "9525bee7-5145-42b0-bed5-ab7196a16daa", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }