翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# レコメンデーションのエクスポートに暗号化された S3 バケットを使用する
<a name="using-encrypted-s3-buckets"></a>

Compute Optimizer レコメンデーションのエクスポート先として、Amazon S3 カスタマーマネージドキーまたは AWS Key Management Service (KMS) キーで暗号化された S3 バケットを指定できます。 Amazon S3 

## 前提条件
<a name="encrypted-s3-buckets-prerequisites"></a>

 AWS KMS 暗号化が有効になっている S3 バケットを使用するには、対称 KMS キーを作成する必要があります。対称 KMS キーは、Amazon S3 がサポートする唯一の KMS キーです。手順については、「*AWS KMS デベロッパーガイド*」の「[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。

KMS キーを作成したら、それを推奨事項のエクスポートに使用する予定の S3 バケットに適用します。詳細については、「* Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 のデフォルトバケット暗号化を有効にする](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html)」を参照してください。

## 手順
<a name="using-encrypted-s3-buckets-procedure"></a>

次の手順を使用して、KMS キーを使用するために必要なアクセス許可を Compute Optimizer に付与します。この許可は、暗号化された S3 バケットに保存する際に、レコメンデーションエクスポートファイルを暗号化するためのものです。

1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. 左のナビゲーションメニューで、[**カスタマー管理キー**] を選択します。
**注記**  
Compute Optimizer のレコメンデーションのエクスポートでは、**AWS マネージドキー**で暗号化された S3 バケットは使用できません。

1. エクスポート S3 バケットの暗号化に使用した KMS キーの名前を選択します。

1. [**キーポリシー**] タブを選択して、次に [**ポリシービューへの切り替え**] を選択します。

1. [**編集**] を選択して、キーポリシーを編集します。

1. 次のポリシーのいずれかをコピーし、キーポリシーのステートメントセクションに貼り付けます。

1. ポリシーの次のプレースホルダテキストを置き換えます。
   + {{MyRegion}} をソース AWS リージョンに置き換えます。
   + {{myAccountId}} をエクスポートリクエスタのアカウント番号に置き換えます。

   この`GenerateDataKey`ステートメントにより、Compute Optimizer は AWS KMS API を呼び出して、レコメンデーションファイルを暗号化するためのデータキーを取得できます。このようにして、アップロードされたデータ形式をバケットの暗号化設定に対応させることができます。それ以外の場合、Amazon S3 はエクスポートリクエストを拒否します。
**注記**  
既存の KMSにすでに 1 つ以上のポリシーがアタッチされている場合は、それらのポリシーに Compute Optimizer アクセス用のステートメントを追加します。結果として得られる権限のセットを評価して、それらが KMS キーにアクセスするユーザーに適切であることを確認します。

Amazon S3 バケットキーを許可するには、次のポリシーを使用します。このポリシーは、S3 バケットキーが有効か無効かに関係なく使用する必要があります。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 バケットキーを使用した SSE-KMS のコストの削減](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)」を参照してください。

```
{
                "Sid": "Allow use of the key to Compute Optimizer",
                "Effect": "Allow",
                "Principal": {
                    "Service": "compute-optimizer.amazonaws.com"
                },
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": "*",
                "Condition": {"StringEquals": {
                        "aws:SourceAccount": "{{myAccountID}}"
                    },
                    "StringLike": {
                         "aws:SourceArn": "arn:aws:compute-optimizer:{{myRegion}}:{{myAccountID}}:*"
                     }
                }
            }
```

## 次の手順
<a name="encrypted-s3-buckets-next-steps"></a>

 AWS Compute Optimizer レコメンデーションをエクスポートする方法については、「」を参照してください[レコメンデーションをエクスポート](exporting-your-recommendations.md)。

## その他のリソース
<a name="encrypted-s3-buckets-resources"></a>
+ トラブルシューティング - [失敗したエクスポートジョブのトラブルシューティング](troubleshooting-account-opt-in.md#troubleshooting-exports)
+ [エクスポートされたファイル](exported-files.md)
+ [Amazon Simple Storage Service ユーザーガイド](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)