AWS KMS key を使用してメトリクスのエクスポートを暗号化する - Amazon Simple Storage Service
S3 テーブルバケット KMS アクセス許可

AWS KMS key を使用してメトリクスのエクスポートを暗号化する

カスタマーマネージドキーを使用してメトリクスのエクスポートを暗号化するアクセス許可を Amazon S3 ストレージレンズに付与するには、キーポリシーを使用する必要があります。S3 ストレージレンズのメトリクスのエクスポートの暗号化に KMS を使用できるようにキーポリシーを変更するには、次の手順に従います。

S3 ストレージレンズに KMS キーを使用したデータの暗号化のアクセス許可を付与するには

  1. カスタマーマネージドキーを所有する AWS アカウント を使用して、AWS マネジメントコンソール にサインインします。

  2. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  3. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  4. 左のナビゲーションペインで、[Customer managed keys ] を選択します。

  5. [カスタマーマネージドキー] で、メトリクスのエクスポートを暗号化するために使用するキーを選択します。AWS KMS keys はリージョン固有で、メトリクスのエクスポート先である S3 バケットと同じリージョンにある必要があります。

  6. [Key policy] 行で、[Switch to policy view] を選択します。

  7. [編集] をクリックし、キーポリシーを更新します。

  8. [キーポリシーの編集] で、既存のキーポリシーに次のキーポリシーを追加します。このポリシーを使用するには、user input placeholders をユーザー自身の情報に置き換えます。

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. [Save changes] (変更の保存) をクリックします。

カスタマーマネージドキーの作成とキーポリシーの使用の詳細については、AWS Key Management Service デベロッパーガイドの以下のトピックを参照してください。

また、AWS KMS PUT キーポリシー API オペレーション (PutKeyPolicy) を使用して、カスタマーマネージドキーにキーポリシーをコピーすることもできます。このポリシーは、REST API、AWS CLI、および SDK を使用してメトリクスのエクスポートを暗号化する際に使用します。

S3 テーブルバケットエクスポートの追加アクセス許可

S3 ストレージレンズメトリクスを含む S3 テーブル内のすべてのデータは、デフォルトで SSE-S3 暗号化で暗号化されます。ストレージレンズメトリクスレポートを AWS KMS キー (SSE-KMS) で暗号化することを選択できます。S3 ストレージレンズメトリクスレポートを KMS キーで暗号化する場合は、追加のアクセス許可が必要です。

  1. ユーザーまたは IAM ロールには以下のアクセス許可が必要です。IAM コンソール (https://console.aws.amazon.com/iam/) を使用してこれらのアクセス許可を付与できます。

    • 使用する AWS KMS キーの kms:DescribeKey

  2. AWS KMS キーのキーポリシーでは、次のアクセス許可が必要です。AWS KMS コンソール (https://console.aws.amazon.com/kms) を使用してこれらのアクセス許可を付与できます。このポリシーを使用するには、user input placeholders をユーザー自身の情報に置き換えます。

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}