AWS KMS key を使用してメトリクスのエクスポートを暗号化する - Amazon Simple Storage Service

AWS KMS key を使用してメトリクスのエクスポートを暗号化する

カスタマーマネージドキーを使用してメトリクスのエクスポートを暗号化するアクセス許可を Amazon S3 ストレージレンズに付与するには、キーポリシーを使用する必要があります。S3 ストレージレンズのメトリクスのエクスポートの暗号化に KMS を使用できるようにキーポリシーを変更するには、次の手順に従います。

S3 ストレージレンズに KMS キーを使用したデータの暗号化のアクセス許可を付与するには

  1. カスタマーマネージドキーを所有する AWS アカウント を使用して、AWS マネジメントコンソール にサインインします。

  2. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  3. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  4. 左のナビゲーションペインで、[Customer managed keys ] を選択します。

  5. [カスタマーマネージドキー] で、メトリクスのエクスポートを暗号化するために使用するキーを選択します。AWS KMS keys はリージョン固有で、メトリクスのエクスポート先である S3 バケットと同じリージョンにある必要があります。

  6. [Key policy] 行で、[Switch to policy view] を選択します。

  7. [編集] をクリックし、キーポリシーを更新します。

  8. [キーポリシーの編集] で、既存のキーポリシーに次のキーポリシーを追加します。このポリシーを使用するには、user input placeholders をユーザー自身の情報に置き換えます。

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. [Save changes] (変更の保存) をクリックします。

カスタマーマネージドキーの作成とキーポリシーの使用の詳細については、AWS Key Management Service デベロッパーガイドの以下のトピックを参照してください。

また、AWS KMS PUT キーポリシー API オペレーション (PutKeyPolicy) を使用して、カスタマーマネージドキーにキーポリシーをコピーすることもできます。このポリシーは、REST API、AWS CLI、および SDK を使用してメトリクスのエクスポートを暗号化する際に使用します。