詳細設定を使用する - AWS Supply Chain
カスタム AWS KMS キーの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

詳細設定を使用する

詳細設定では、独自のパラメータを設定してインスタンスをカスタマイズできます。プリセットパラメータの高度な設定を使用して AWS Supply Chain インスタンスを作成するには、次の手順に従います。

  1. 詳細設定で編集を選択します。

    Interface for creating AWS Supply Chain application with options to create or edit in advanced setup.

    インスタンスのプロパティページが表示されます。

    Instance properties form with fields for AWS region, instance name, description, and KMS key.

  2. インスタンスプロパティページで以下を入力します。

    • 名前 – インスタンス名を入力します。

    • 説明 – AWS Supply Chain インスタンスの説明 (本番稼働用インスタンス、テストインスタンスなど) を入力します。

    • AWS KMS キー (オプション) – デフォルトの AWS KMS キーを使用するか (推奨)、独自の AWS KMS キーを指定できます。詳細については「カスタム AWS KMS キーの使用」を参照してください。

    • インスタンスタグ – 識別に使用できるタグをインスタンスに追加できます。たとえば、タグを追加して、作成するインスタンスのタイプ (本番稼働、テスト、UAT など) を定義できます。

      注記

      S/4 Hana データ接続を使用する予定の場合は、指定した AWS KMS キーに の値に関連付けられた aws-supply-chain-access タグがあることを確認してくださいtrue

  3. インスタンスの作成 を選択します。

  4. (オプション) AWS Supply Chain インスタンスが作成され、 AWS KMS キーで独自のAWS KMS キーを使用することを選択した場合は、KMS ポリシーを更新して AWS Supply Chain が AWS KMS キーにアクセスできるようにします。

    注記

    YourAccountNumberYourInstanceID を AWS アカウント と AWS Supply Chain インスタンス ID に置き換えます。

     {

    "Sid": "Allow AWS Supply Chain to access the AWS KMS Key",
    "Effect": "Allow",
    "Principal":  {
        "AWS": "arn:aws:iam::YourAccountNumber:role/service-role/scn-instance-role-YourInstanceID"
    },
    "Action":  [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*"
}

カスタム AWS KMS キーの使用

インスタンスの作成時に独自の AWS KMS キーを使用できます。独自のキーを管理するが、既存のキーを使用しない場合は、新しいキーを作成できます。

注記

AWS Supply Chain インスタンスでは、 AWS 所有キーの使用がデフォルト設定として推奨されます。

既存の AWS KMS キーの使用

  1. 暗号化設定をカスタマイズを選択します。

  2. AWS KMS 「キーの選択」に移動します。

  3. 指定されたフィールドにキーを入力します。

  4. [更新] を選択します。

AWS KMS キーの作成

  1. [作成] を選択します。

  2. 「KMS キーの作成」のステップに従います。

  3. 次のアクセス許可で新しいキーを更新します。

    • 主要な管理アクセス許可を定義する: オフのままにする

    • キーの使用許可を定義する: チェックしないままにする

    • キーポリシーの更新: キーポリシーを編集し、 を以下に置き換えます。

      {
 
    "Version": "2012-10-17",
    "Statement":  [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal":  {
                "AWS": "arn:aws:iam::YourAccountNumber:root" 
            },
            "Action": "kms:*",
            "Resource": "*" 
        },
        {
            "Sid": "Allow access through SecretManager for all principals in the account that are authorized to use SecretManager",
            "Effect": "Allow",
            "Principal":  {
                "AWS": "*" 
            },
            "Action":  [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo" 
            ],
            "Resource": "*",
            "Condition":  {
                "StringEquals":  {
                    "kms:ViaService": "secretsmanager.Region.amazonaws.com",
                    "kms:CallerAccount": "YourAccountNumber" 
                }
            }
        },
        {
            "Sid": "Allow AWS Supply Chain to access the AWS KMS Key",
            "Effect": "Allow",
            "Principal":  {
                "Service": "scn.Region.amazonaws.com"
            },
            "Action":  [
                "kms:Encrypt",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant"
            ],
            "Resource":"*"
        }
    ]
}