AWS Systems Manager
ユーザーガイド

セッションデータの AWS KMS キー暗号化を有効にする (コンソール)

AWS Key Management Service (AWS KMS)を使用してキーを作成および管理します。AWS KMS では、幅広い AWS のサービスおよびアプリケーションでの暗号化の使用を制御できます。Amazon EC2 インスタンスと AWS アカウント内のユーザーのローカルマシンとの間で送信されるセッションデータを、AWS KMS キー暗号化を使用して暗号化するように指定できます。(これは、AWS がすでにデフォルトで提供している TLS 1.2 暗号化に追加されたものです。) セッションのための AWS KMS キー暗号化は AWS KMS で作成される顧客マスターキー (CMK) を使用することで達成されます。

注記

Systems Manager コンソールからマネージドインスタンスのパスワードをリセットするには、AWS KMS 暗号化を有効にする必要があります。詳細については、「マネージドインスタンスでパスワードをリセットする」を参照してください。

AWS アカウントに作成したキーを使用できます。また、別の AWS アカウントで作成されたキーを使用することもできます。別の AWS アカウントでのキーの作成者はキーを使用するために必要なアクセス権限をユーザーに提供する必要があります。

セッションデータの AWS KMS キー暗号化を有効にした後、セッションを開始するユーザーとそれらが接続するインスタンスの両方に、キーを使用するアクセス権限が必要です。IAM ポリシーを通して Session Manager と共に CMK を使用するアクセス権限を付与します。詳細については、以下のトピックを参照してください。

AWS KMS キーの作成と管理に関する詳細については、AWS Key Management Service Developer Guide を参照してください。

AWS CLI を使用してアカウントのセッションデータの AWS KMS キー暗号化を有効にする方法については、「Session Manager 設定 (AWS CLI) を作成する」または「Session Manager 設定 (AWS CLI) の更新」を参照してください。

注記

CMK 使用には料金が発生します。詳細については、「AWS Key Management Service の料金表」を参照してください。

セッションデータの AWS KMS キー暗号化を有効にするには (コンソール)

  1. https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。

  2. ナビゲーションペインで [Session Manager] を選択します。

  3. [Preferences (設定)] タブを選択してから、[Edit (編集)] を選択します。

  4. [Key Management Service (キー管理サービス) (KMS)] の横にあるチェックボックスをオンにします。

  5. 次のいずれかを行ってください。

    • [現在のアカウントの AWS KMS キーを選択] の横にあるボタンを選択して、リストからキーを選択します。

      -または-

      [KMS キーエイリアスまたはKMS キー ARN の入力] の横のボタンをクリックします。現在のアカウントで作成されたキーの AWS KMS キーエイリアスを手動で入力するか、別のアカウントのキーのキー ARN を入力します。次に例を示します。

      • キーエイリアス: alias/my-kms-key-alias

      • キー ARN: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

      -または-

      [Create new key (新しいキーを作成)] を選択して、アカウントに新しい CMK を作成します。新しいキーを作成した後、[Preferences (設定)] タブに戻り、アカウントのセッションデータを暗号化するためのキーを選択します。

    キーの共有の詳細については、AWS Key Management Service Developer Guide の「外部 AWS アカウントの CMK へのアクセスの許可」を参照してください。

  6. [Save] を選択します。