翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrail の使用方法 AWS KMS
AWS CloudTrail を使用して の呼び出しやその他のアクティビティを記録 AWS API AWS アカウント し、記録した情報を選択した Amazon Simple Storage Service (Amazon S3) バケットのログファイルに保存できます。デフォルトでは、 が S3 バケット CloudTrail に配置するログファイルは、Amazon S3 が管理する暗号化キー (-S3) によるサーバー側の暗号化を使用して暗号化されますSSE-S3。ただし、代わりにKMSキー (SSE-) によるサーバー側の暗号化を使用することを選択できますKMS。で CloudTrail ログファイルを暗号化する方法については AWS KMS、 AWS CloudTrail ユーザーガイドのAWS KMS keys 「 (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。
重要
AWS CloudTrail および Amazon S3 は、対称 AWS KMS keysのみをサポートします。非対称KMSキーを使用して CloudTrail ログを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、「」を参照してください非対称 KMS キーの識別。
が SSE-KMS キーで暗号化されたログファイルを CloudTrail 読み取りまたは書き込みする場合、キー使用料は発生しません。ただし、 SSE-KMS キーで暗号化された CloudTrail ログファイルにアクセスする場合は、キー使用料が発生します。 AWS KMS 料金の詳細については、「 の料金AWS Key Management Service
KMS キーがいつ使用されるかを理解する
による CloudTrail ログファイルの暗号化 AWS KMS は、 (-) によるサーバー側の暗号化と呼ばれる Amazon S3 機能に基づいています AWS KMS key SSEKMS。SSE- の詳細についてはKMS、このガイドAmazon Simple Storage Service (Amazon S3) が AWS KMS を使用する方法の「」または Amazon Simple Storage Service ユーザーガイドのKMS「キーによるサーバー側の暗号化 (SSE-KMS) を使用したデータの保護」を参照してください。
SSE-KMS AWS CloudTrail を使用してログファイルを暗号化するように を設定する CloudTrail と、Amazon S3 はそれらのサービスで特定のアクションを実行 AWS KMS keys するときに を使用します。以下のセクションでは、これらのサービスがKMSキーをいつ、どのように使用できるかについて説明し、この説明を検証するために使用できる追加情報を提供します。
CloudTrail と Amazon S3 がKMSキーを使用する原因となるアクション
でログファイルを暗号化 CloudTrail するように を設定します。 AWS KMS key
KMS キー を使用するように設定を更新する CloudTrailと、 CloudTrail は にGenerateDataKeyリクエストを送信 AWS KMS して、KMSキーが存在し、それを暗号化に使用するアクセス許可 CloudTrail を持っていることを確認します。 は結果のデータキーを使用し CloudTrail ません。
GenerateDataKey リクエストには、暗号化コンテキストの次の情報が含まれています。
-
CloudTrail 証跡の Amazon リソースネーム (ARN)
-
CloudTrail ログファイルARNが配信される S3 バケットとパスの 。
GenerateDataKey リクエストの結果、次の例のようなエントリが CloudTrail ログに記録されます。このようなログエントリが表示されたら、 CloudTrail ( 
) が特定の証跡 () の AWS KMS ( 
) GenerateDataKeyオペレーション () を呼び出したと判断できます 
。 が特定のキー ( 
) の下にデータKMSキー AWS KMS を作成しました 
。
注記
次のログエントリの例に示されているコールアウトの一部を表示するには、右にスクロールする必要があります。
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail",
CloudTrail はログファイルを S3 バケットに配置します。
CloudTrail がログファイルを S3 バケットに入れるたびに、Amazon S3 は AWS KMS に代わって にGenerateDataKeyリクエストを送信します CloudTrail。このリクエストに応答して、 は一意のデータキー AWS KMS を生成し、データキーのコピーを 2 つ Amazon S3 に送信します。1 つはプレーンテキストで、もう 1 つは指定されたKMSキーで暗号化されます。Amazon S3 は、プレーンテキストのデータキーを使用して CloudTrail ログファイルを暗号化し、使用後できるだけ早くプレーンテキストのデータキーをメモリから削除します。Amazon S3 は、暗号化されたデータキーを暗号化された CloudTrail ログファイルのメタデータとして保存します。
GenerateDataKey リクエストには、暗号化コンテキストの次の情報が含まれています。
-
CloudTrail 証跡の Amazon リソースネーム (ARN)
-
S3 オブジェクトARNの ( CloudTrail ログファイル)
各GenerateDataKeyリクエストでは、次の例のようなエントリが CloudTrail ログに記録されます。このようなログエントリが表示されたら、 CloudTrail ( ) が特定の証跡 () の AWS KMS ( ) GenerateDataKeyオペレーション ( ) を呼び出して、特定のログファイル ( ) を保護するように決定できます 。 は、同じログエントリに 2 回表示される指定されたキー ( 
) の下にデータKMSキー AWS KMS を作成しました。
注記
次のログエントリの例に示されているコールアウトの一部を表示するには、右にスクロールする必要があります。
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85", "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85",
S3 バケットから暗号化されたログファイルを取得する
S3 バケットから暗号化された CloudTrail ログファイルを取得するたびに、Amazon S3 は AWS KMS ユーザーに代わって にDecryptリクエストを送信し、ログファイルの暗号化されたデータキーを復号します。このリクエストに応答して、 AWS KMS はKMSキーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon S3 に送信します。Amazon S3 は、プレーンテキストのデータキーを使用して CloudTrail ログファイルを復号し、使用後できるだけ早くプレーンテキストのデータキーをメモリから削除します。
Decrypt リクエストには、暗号化コンテキストの次の情報が含まれています。
-
CloudTrail 証跡の Amazon リソースネーム (ARN)
-
S3 オブジェクトARNの ( CloudTrail ログファイル)
各Decryptリクエストでは、次の例のようなエントリが CloudTrail ログに記録されます。このようなログエントリが表示されたら、 AWS アカウント ( ) のユーザーが特定の証跡 () および特定のログファイル ( ) に対して AWS KMS ( ) Decryptオペレーションを呼び出したと判断できます 。 は、特定のキー ( ) でデータKMSキーを復 AWS KMS 号化しました 。
注記
次のログエントリの例に示されているコールアウトの一部を表示するには、右にスクロールする必要があります。
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin",
