AWS X-Ray でのデータ保護
AWS X-Ray は常に保管時のトレースと関連データを暗号化します。コンプライアンスの要件や内部的な要件に応じて暗号化キーを監査して無効にする必要がある場合は、X-Ray を設定してデータを暗号化するように AWS Key Management Service (AWS KMS) キーを使用することができます。
X-Ray は aws/xray という名前の AWS マネージドキー を指定します。AWS CloudTrail でキーの使用状況を監査するだけで、キー自体を管理する必要がない場合は、このキーを使用します。キーへのアクセスを管理したり、キーの更新を設定したりする必要がある場合は、カスタマー管理のキーを作成できます。
暗号化設定を変更すると、X-Ray でのデータキーの生成および伝達に少し時間がかかります。新しいキーの処理中に、X-Ray は新しい設定と古い設定を組み合わせてデータを暗号化することがあります。暗号化設定を変更するときに、既存のデータは再暗号化されません。
注記
X-Ray が KKMS キーを使用してトレースデータを暗号化または復号するときに、AWS KMS の料金が発生します。
-
デフォルトの暗号化 – 無料。
-
AWS マネージドキー – キーの使用について料金が発生します。
-
カスタマー管理キー – キーの保存と使用について料金が発生します。
詳細については、「AWS Key Management Service の料金
注記
X-Ray インサイト通知は現在カスタマー管理キーをサポートしていない Amazon EventBridge にイベントを送信します。詳細については、「Amazon EventBridge におけるデータ保護』を参照してください。
カスタマー管理キーを使用して暗号化されたトレースを表示するように X-Ray を設定するには、カスタマー管理キーに対するユーザーレベルのアクセス権が必要です。詳細については、「暗号化のユーザーアクセス許可」を参照してください。
注記
X-Ray は非対称 KMS キー をサポートしていません。
X-Ray が暗号化キーにアクセスできない場合、データの保存を停止します。これは、ユーザーが KMS キーにアクセスできなくなった場合や、現在使用されているキーを無効にした場合に発生する可能性があります。この場合、X-Ray はナビゲーションバーに通知を表示します。
X-Ray API を使用して暗号化設定を指定する方法については、「AWS X-Ray API を使用したサンプリング、グループ、暗号化設定の構成」を参照してください。
