セッションデータの KMS キー暗号化を有効にする (コンソール) - AWS Systems Manager

セッションデータの KMS キー暗号化を有効にする (コンソール)

AWS Key Management Service (AWS KMS)を使用してキーを作成および管理します。AWS KMS では、幅広い AWS のサービスおよびアプリケーションでの暗号化の使用を制御できます。マネーマネージドノードと AWS アカウント 内のユーザーのローカルマシン間で送信されるセッションデータが、KMS キー暗号化プログラムで暗号化されることを指定できます。(これは、AWS が既にデフォルトで提供している TLS 1.2 暗号化に追加されています)。セッションの KMS キー暗号化は、AWS KMS で作成されたキーを使用して実行されます。AWS KMS 暗号化は、Standard_StreamInteractiveCommands、および NonInteractiveCommands セッションタイプで使用できます。AWS KMS で作成したキーでセッションデータを暗号化するオプションを使用する場合、AWS Systems Manager SSM Agent におけるバージョンが 2.3.539.0 以降がマネージドノードにインストールされている必要があります。

注記

AWS Systems Manager コンソールからマネージドノードのパスワードをリセットするため、AWS KMS 暗号化を有効にする必要があります。詳細については、「マネージドノードでパスワードをリセットする」を参照してください。

に作成したキーを使用できますAWS アカウント また、別の で作成されたキーを使用することもできますAWS アカウント 別の AWS アカウント でのキーの作成者はキーを使用するために必要なアクセス許可をユーザーに提供する必要があります。

セッションデータの KMS キー暗号化を有効にすると、セッションを開始するユーザーとそのユーザーが接続するマネージドノードの両方が、キーを使用する許可が必要になります。AWS Identity and Access Management (IAM) ポリシーを使用して、Session Manager で KMS キーを使用するアクセス許可を付与します。詳細については、以下のトピックを参照してください。

KMS キーの作成と管理の詳細については、AWS Key Management Service デベロッパーガイドを参照してください。

AWS CLI を使用してアカウントのセッションデータの KMS キー暗号化を有効にする方法については、「Session Manager 設定の更新 (コマンドライン)」または「Session Manager 設定の作成 (コマンドライン)」を参照してください。

注記

KMS キーの使用には料金が発生します。詳細については、「AWS Key Management Service の料金表」を参照してください。

セッションデータの KMS キー暗号化を有効にするには (コンソール)

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Session Manager] を選択します。

  3. [Preferences (設定)] タブを選択してから、[Edit (編集)] を選択します。

  4. KMS 暗号化を有効にするの隣のチェックボックスをオンにします。

  5. 次のいずれかを実行します。

    • [現在のアカウントの KMS キーを選択] の横にあるボタンを選択して、リストからキーを選択します。

      -または-

      [KMS キーエイリアスまたはKMS キー ARN の入力] の横のボタンをクリックします。現在のアカウントで作成されたキーの KMS キーエイリアスを手動で入力するか、別のアカウントのキーのキー Amazon リソースネーム (ARN) を入力します。次に例を示します。

      • キーエイリアス: alias/my-kms-key-alias

      • キー ARN: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

      -または-

      [Create new key] (新しいキーを作成) を選択して、アカウントに新しい KMS キーを作成します。新しいキーを作成した後、[Preferences (設定)] タブに戻り、アカウントのセッションデータを暗号化するためのキーを選択します。

    キーの共有の詳細については、AWS Key Management Service デベロッパーガイド外部 AWS アカウント のキーへのアクセスの許可を参照してください。

  6. [Save] を選択します。