AWS KMS キーを使用した CloudTrail ログファイル、ダイジェストファイル、イベントデータストアの暗号化 (SSE-KMS)
デフォルトでは、CloudTrail から バケットに配信されるログファイルとダイジェストファイルは、KMS キーによるサーバー側の暗号化 (SSE-KMS) を使用して暗号化されます。SSE-KMS 暗号化を有効にしない場合、ログファイルとダイジェストファイルは SSE-S3 暗号化を使用して暗号化されます。
注記
S3 バケットキーで既存の S3 バケットを使用している場合は、CloudTrail に AWS KMS アクションの GenerateDataKey および DescribeKey を使用するためのアクセス許可をキーポリシーで付与する必要があります。もし cloudtrail.amazonaws.com にキーポリシーの許可が与えられていない場合、証跡の作成や更新は行なえません。
CloudTrail で SSE-KMS を使用するには、AWS KMS key を作成して管理します。CloudTrail のログファイルとダイジェストファイルの暗号化と復号化に、どのユーザーがキーを使用できるかを決定するポリシーをキーにアタッチします。復号は、S3 を通じてシームレスです。キーの承認されたユーザーが CloudTrail のログファイルまたはダイジェストファイルを読み取ると、S3 は復号を管理し、許可されたユーザーは暗号化されていない形式でそのファイルを読み取ることができます。
このアプローチには以下の利点があります。
-
お客様自身で KMS キー を作成および管理できます。
-
単一の KMS キーを使用して、すべてのリージョンの複数のアカウントのログファイルとダイジェストファイルを暗号化および復号化できます。
-
CloudTrail ログファイルとダイジェストファイルを暗号化および復号化するためにキーを使用できるユーザーを制御できます。要件に応じて、組織のユーザーにキーのアクセス権限を割り当てることができます。
-
セキュリティが強化されました。この機能では、ログファイルまたはダイジェストファイルを読み取るために、次のアクセス許可が必要です。
ユーザーには、ログファイルとダイジェストファイルを含むバケットに対する S3 の読み取り権限が必要です。
ユーザーには、KMS キーポリシーによるアクセス許可の復号化を許可するポリシーまたは役割も適用する必要があります。
-
S3 では、KMS キーの使用を許可されたユーザーからの要求に対してログファイルとダイジェストファイルが自動的に復号されるため、そのファイルの SSE-KMS 暗号化は、CloudTrail ログデータを読み取るアプリケーションとの下位互換性があります。
注記
選択する KMS キーは、ログファイルとダイジェストファイルを受け取る Amazon S3 バケットと同じ AWS リージョンに作成されている必要があります。例えば、ログファイルとダイジェストファイルが 米国東部 (オハイオ) リージョンのバケットに保存される場合は、そのリージョンで作成された KMS キーを作成または選択する必要があります。Amazon S3 バケットのリージョンを確認するには、Amazon S3 コンソールでそのプロパティを調べます。
デフォルトでは、イベントデータストアは CloudTrail によって暗号化されます。イベントデータストアを作成または更新するときに、暗号化に独自の KMS キーを使用するオプションがあります。
ログファイルの暗号化を有効にする
注記
CloudTrail コンソールで KMS キーを作成すると、CloudTrail により必要な KMS キーポリシーセクションが追加されます。IAM コンソールまたは AWS CLI でキーを作成、または必要なポリシーセクションを手動で追加する必要がある場合は、次の手順に従ってください。
CloudTrail ログファイルに対して SSE-KMS 暗号化を有効にするには、次の必要な手順を実行します。
-
KMS キーを作成します。
-
AWS マネジメントコンソール を使用した KMS キーの作成の詳細については、AWS Key Management Service デベロッパーガイドの「キーの作成」を参照してください。
-
AWS CLI を使用した KMS キーの作成の詳細については、「create-key」を参照してください。
注記
選択する KMS キーは、ログファイルとダイジェストファイルを受け取る S3 バケットと同じリージョンにある必要があります。S3 バケットのリージョンを確認するには、S3 コンソールでバケットのプロパティを調べます。
-
-
CloudTrail で暗号化を有効にし、ユーザーがログファイルとダイジェストファイルを復号化できるようにするポリシーセクションをキーに追加します。
-
ポリシーに含める内容の詳細については、「CloudTrail の AWS KMS キーポリシーの設定」を参照してください。
警告
ログファイルまたはダイジェストファイルを読み取る必要があるすべてのユーザーに対して、ポリシーに復号のアクセス権限を含めるようにしてください。証跡の設定にキーを追加する前にこの手順を実行しない場合、復号のアクセス権限のないユーザーは、それらにアクセス権限を付与するまで暗号化されたファイルを読み取ることができません。
-
IAM コンソールを使用したポリシーの編集の詳細については、AWS Key Management Service デベロッパーガイドの「キーポリシーの編集」を参照してください。
-
AWS CLI を使用してポリシーを KMS キーにアタッチする方法については、「put-key-policy」を参照してください。
-
-
CloudTrail 用にポリシーを変更した KMS キーを使用するために証跡またはイベントデータストアを更新します。
-
CloudTrail コンソールを使用して証跡またはイベントデータストアを更新するには、「コンソールで KMS キーを使用するようにリソースを更新する」を参照してください。
-
AWS CLI を使用して証跡またはイベントデータストアを更新するには、「AWS CLI を使用した CloudTrail ログファイル、ダイジェストファイル、イベントデータストアの暗号化の有効化と無効化」を参照してください。
-
CloudTrail は、AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。
次のセクションでは、CloudTrail で使用するために KMS キーポリシーが必要とするポリシーセクションについて説明します。
