セッションデータの KMS キー暗号化を有効にする (コンソール) - AWS Systems Manager

セッションデータの KMS キー暗号化を有効にする (コンソール)

AWS Key Management Service (AWS KMS)を使用してキーを作成および管理します。AWS KMS では、幅広い AWS のサービスおよびアプリケーションでの暗号化の使用を制御できます。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと AWS アカウント 内のユーザーのローカルマシンとの間で送信されるセッションデータを KMS キー暗号化を使用して暗号化するように指定できます。(これは、AWS が既にデフォルトで提供している TLS 1.2 暗号化に追加されています)。セッションの KMS キーの暗号化は、 で作成されたキーを使用して行われますAWS KMS AWS KMS で作成したキーを使用して、セッションデータを暗号化するオプションを使用するには、AWS Systems Manager SSM Agent のバージョン 2.3.539.0 以降がマネージドインスタンスでインストールされている必要があります。

注記

AWS Systems Manager コンソールからマネージドインスタンスのパスワードをリセットするには、AWS KMS 暗号化を有効にする必要があります。詳細については、「」を参照してくださいマネージドインスタンスでパスワードをリセットする

に作成したキーを使用できます AWS アカウント また、別の で作成されたキーを使用することもできます AWS アカウント 別の AWS アカウント でのキーの作成者はキーを使用するために必要なアクセス許可をユーザーに提供する必要があります。

セッションデータの KMS キー暗号化を有効にした後、セッションを開始するユーザーとそれらが接続するインスタンスの両方に、キーを使用するアクセス許可が必要です。AWS Identity and Access Management (IAM) ポリシーを使用して、Session Manager で KMS キーを使用するアクセス許可を付与します。詳細については、以下のトピックを参照してください。

KMS キーの作成と管理の詳細については、AWS Key Management Service デベロッパーガイドを参照してください。

AWS CLI を使用してアカウントのセッションデータの KMS キー暗号化を有効にする方法については、「Session Manager の設定を更新する (コマンドライン)」または「Session Manager 設定を作成する (コマンドライン)」を参照してください。

注記

KMS キーの使用には料金が発生します。詳細については、「AWS Key Management Service の料金表」を参照してください。

セッションデータの KMS キー暗号化を有効にするには (コンソール)

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Session Manager] を選択します。

  3. [Preferences (設定)] タブを選択してから、[Edit (編集)] を選択します。

  4. [Key Management Service (キー管理サービス) (KMS)] の横にあるチェックボックスをオンにします。

  5. 次のいずれかを行ってください。

    • [現在のアカウントの KMS キーを選択] の横にあるボタンを選択して、リストからキーを選択します。

      -または-

      [KMS キーエイリアスまたはKMS キー ARN の入力] の横のボタンをクリックします。現在のアカウントで作成されたキーの KMS キーエイリアスを手動で入力するか、別のアカウントのキーのキー Amazon リソースネーム (ARN) を入力します。次に例を示します。

      • キーエイリアス: alias/my-kms-key-alias

      • キー ARN: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

      -または-

      [Create new key] (新しいキーを作成) を選択して、アカウントに新しい KMS キーを作成します。新しいキーを作成した後、[Preferences (設定)] タブに戻り、アカウントのセッションデータを暗号化するためのキーを選択します。

    キーの共有の詳細については、AWS Key Management Service デベロッパーガイド外部 AWS アカウント のキーへのアクセスの許可を参照してください。

  6. [Save] を選択します。