AWS Mainframe Modernization Service (マネージドランタイム環境エクスペリエンス) は、新規のお客様に公開されなくなりました。 AWS Mainframe Modernization Service (マネージドランタイム環境エクスペリエンス) と同様の機能については、 AWS Mainframe Modernization Service (セルフマネージドエクスペリエンス) をご覧ください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、[AWS 「 Mainframe Modernization の可用性の変更](https://docs.aws.amazon.com/m2/latest/userguide/mainframe-modernization-availability-change.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Mainframe Modernization でのデータ保護
AWS Mainframe Modernization でのデータ保護には、 AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)が適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS Mainframe Modernization AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## AWS Mainframe Modernization が収集するデータ
AWS Mainframe Modernization は、いくつかのタイプのデータを収集します。
+ `Application configuration`: これは、アプリケーションを設定するために作成する JSON ファイルです。 AWS Mainframe Modernization が提供するさまざまなオプションの選択肢が含まれています。ファイルには、アプリケーションアーティファクトが保存されている Amazon Simple Storage Service パスや、データベース認証情報が保存され AWS Secrets Manager ている Amazon リソースネーム (ARN) などの依存 AWS リソースに関する情報も含まれています。
+ `Application executable (binary)`: これはコンパイルし、 AWS Mainframe Modernization にデプロイする予定のバイナリです。
+ `Application JCL or scripts`: このソースコードは、アプリケーションに代わってバッチジョブやその他の処理を管理します。
+ `User application data`: データセットをインポートすると、 AWS Mainframe Modernization はデータセットをリレーショナルデータベースに保存して、アプリケーションがデータセットにアクセスできるようにします。
+ `Application source code`: Amazon WorkSpaces アプリケーションを通じて、 AWS Mainframe Modernization はコードを記述してコンパイルするための開発環境を提供します。
AWS Mainframe Modernization は、このデータを にネイティブに保存します AWS。収集したデータは、 AWS Mainframe Modernization が管理する Amazon S3 バケットに保存されます。アプリケーションをデプロイすると、 AWS Mainframe Modernization は Amazon Elastic Block Store-backed Amazon Elastic Compute Cloud インスタンスにデータをダウンロードします。クリーンアップがトリガーされると、データは Amazon EBS ボリュームと Amazon S3 から削除されます。Amazon EBS ボリュームはシングルテナントです。つまり、1 人の顧客に 1 つのインスタンスが使用されます。インスタンスは決して共有されません。ランタイム環境を削除すると、Amazon EBS ボリュームも削除されます。アプリケーションを削除すると、Amazon S3 からアーティファクトと設定が削除されます。
アプリケーションログは Amazon CloudWatch に保存されます。顧客のアプリケーションログメッセージも CloudWatch にエクスポートされます。CloudWatch ログには、ビジネスデータやデバッグメッセージ内のセキュリティ情報など、顧客の機密データが含まれる場合があります。詳細については、「[Amazon CloudWatch による AWS Mainframe Modernization のモニタリング](monitoring-cloudwatch.md)」を参照してください。
さらに、1 つ以上の Amazon Elastic File System または Amazon FSx ファイルシステムをランタイム環境に接続することを選択した場合、それらのシステム内のデータは AWSに保存されます。ファイルシステムの使用を中止する場合は、そのデータをクリーンアップする必要があります。
AWS Mainframe Modernization がアプリケーションのデプロイとデータセットのインポートに使用する Amazon S3 バケットに配置するときに、使用可能なすべての Amazon S3 暗号化オプションを使用してデータを保護できます。また、Amazon EFS と Amazon FSx の暗号化オプションを 1 つ以上ランタイム環境に接続すれば、これらのファイルシステムを使用できます。
## AWS Mainframe Modernization サービスの保管中のデータ暗号化
AWS Mainframe Modernization は と統合 AWS Key Management Service され、Amazon Simple Storage Service、Amazon DynamoDB、Amazon Elastic Block Store などのすべての依存リソースで透過的なサーバー側の暗号化 (SSE) を提供します。 AWS Mainframe Modernization は、 で対称暗号化 AWS KMS キーを作成および管理します AWS KMS。
保管中のデータをデフォルトで暗号化して、機密データの保護に伴う運用のオーバーヘッドと複雑な作業を軽減できます。同時に、暗号化のコンプライアンスと規制の厳格な要件を必要とするアプリケーションを移行することもできます。
ランタイム環境とアプリケーションを作成するときに、この暗号化レイヤーを無効にしたり、代替の暗号化タイプを選択したりすることはできません。
AWS Mainframe Modernization アプリケーションとランタイム環境に独自のカスタマーマネージドキーを使用して、Amazon S3 および Amazon EBS リソースを暗号化できます。
AWS Mainframe Modernization アプリケーションの場合、このキーを使用してアプリケーション定義と、サービスのアカウントで作成された Amazon S3 バケットに保存されている JCL ファイルなどの他のアプリケーションリソースを暗号化できます。詳細については、「[アプリケーションの作成](applications-m2-create.md#applications-m2-create-console)」を参照してください。
AWS Mainframe Modernization ランタイム環境の場合、 AWS Mainframe Modernization はカスタマーマネージドキーを使用して、作成して AWS Mainframe Modernization Amazon EC2 インスタンスにアタッチする Amazon EBS ボリュームを暗号化します。このボリュームもサービスのアカウントにあります。詳細については、「[ランタイム環境を作成する](create-environments-m2.md#create-environments-m2.console)」を参照してください。
**注記**
DynamoDB リソースは常に AWS Mainframe Modernization サービスアカウントの AWS マネージドキー を使用して暗号化されます。カスタマーマネージドキーを使用して DynamoDB リソースを暗号化することはできません。
AWS Mainframe Modernization は、次のタスクにカスタマーマネージドキーを使用します。
+ アプリケーションの再デプロイ。
+ AWS Mainframe Modernization Amazon EC2 インスタンスの置き換え。
AWS Mainframe Modernization は、カスタマーマネージドキーを使用して、 AWS Mainframe Modernization アプリケーションをサポートするために作成された Amazon Relational Database Service または Amazon Aurora データベース、Amazon Simple Queue Service キュー、および Amazon ElastiCache キャッシュを暗号化しません。いずれのキャッシュにもカスタマーデータが含まれていないためです。
詳細については、「[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」の「カスタマーマネージドキー」を参照してください。
次の表は、 AWS Mainframe Modernization が機密データを暗号化する方法をまとめたものです。
| データ型 | AWS マネージドキー 暗号化 | カスタマーマネージドキーの暗号化 |
| --- | --- | --- |
| `Definition` 特定のアプリケーションの定義が含まれています。 | 有効 | 有効 |
| `EnvironmentSummary` ランタイム環境に関する情報が含まれています。 | 有効 | 有効 |
| `ApplicationSummary` AWS Mainframe Modernization アプリケーションに関する情報が含まれています。 | 有効 | 有効 |
| `DeploymentSummary` AWS Mainframe Modernization アプリケーションのデプロイに関する情報が含まれています。 | 有効 | 有効 |
**注記**
AWS Mainframe Modernization は、 を使用して保管時の暗号化を自動的に有効に AWS マネージドキー し、機密データを無料で保護します。ただし、カスタマーマネージドキーの使用には AWS KMS 料金が適用されます。料金の詳細については、「[AWS Key Management Service 料金表](https://aws.amazon.com/kms/pricing/)」を参照してください。
詳細については AWS KMS、「」を参照してください AWS Key Management Service。
## AWS Mainframe Modernization が で許可を使用する方法 AWS KMS
AWS Mainframe Modernization には、カスタマーマネージドキーを使用するための[許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が必要です。
アプリケーションまたはランタイム環境を作成するか、カスタマーマネージドキーで暗号化された AWS Mainframe Modernization にアプリケーションをデプロイすると、 AWS Mainframe Modernization は [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを送信してユーザーに代わって許可を作成します AWS KMS。の許可 AWS KMS は、 AWS Mainframe Modernization に顧客アカウントの KMS キーへのアクセスを許可するために使用されます。
AWS Mainframe Modernization では、以下の内部オペレーションにカスタマーマネージドキーを使用する権限が必要です。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信 AWS KMS して、アプリケーション、ランタイム環境、またはアプリケーションのデプロイの作成時に入力された対称カスタマーマネージドキー ID が有効であることを確認します。
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) リクエストを に送信 AWS KMS して、 AWS Mainframe Modernization ランタイム環境をホストする Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームを暗号化します。
+ Amazon EBS で暗号化されたコンテンツを復号 AWS KMS するために、[復号](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)リクエストを に送信します。
AWS Mainframe Modernization では、 AWS KMS 権限を使用して Secrets Manager に保存されているシークレットを復号します。ランタイム環境の作成、アプリケーションの作成または再デプロイ、デプロイの作成時に使用します。 AWS Mainframe Modernization が作成する許可は、次のオペレーションをサポートします。
+ ランタイム環境許可の作成、または更新
+ Decrypt
+ 暗号化
+ ReEncryptFrom
+ ReEncryptTo
+ GenerateDataKey
+ DescribeKey
+ CreateGrant
+ アプリケーション許可を作成または再デプロイします。
+ GenerateDataKey
+ デプロイ許可の作成。
+ Decrypt
任意のタイミングで、許可に対するアクセス権を取り消したり、カスタマーマネージドキーに対するサービスからのアクセス権を削除したりできます。その場合、 AWS Mainframe Modernization はカスタマーマネージドキーによって暗号化されたデータにアクセスできず、データに依存するオペレーションに影響します。たとえば、 AWS Mainframe Modernization が、カスタマーマネージドキーによって暗号化されたアプリケーション定義に、そのキーへの許可なしでアクセスしようとすると、アプリケーション作成オペレーションは失敗します。
AWS Mainframe Modernization は、ユーザーアプリケーション設定 (JSON ファイル) とアーティファクト (バイナリと実行可能ファイル) を収集します。また、 AWS Mainframe Modernization のオペレーションに使用されるさまざまなエンティティを追跡するメタデータを作成し、ログとメトリクスを作成します。顧客に表示されるログとメトリクスには以下が含まれます。
+ アプリケーションとランタイムエンジン (メインフレームまたは Rocket Software (旧 Micro Focus) の AWS 変換) を反映する CloudWatch ログ。
+ オペレーションダッシュボード用の CloudWatch メトリクス。
さらに、 AWS Mainframe Modernization は、サービスに関する計測、アクティビティレポートなどの使用状況データとメトリクスを収集します。このデータは顧客には表示されません。
AWS Mainframe Modernization は、データの種類に応じて、このデータをさまざまな場所に保存します。アップロードした顧客データは Amazon S3 バケットに保存されます。サービスデータは Amazon S3 と DynamoDB の両方に保存されます。アプリケーションをデプロイすると、データとサービスデータの両方が Amazon EBS ボリュームにダウンロードされます。Amazon EFS または Amazon FSx ストレージをランタイム環境に接続することを選択した場合、それらのファイルシステムに保存されているデータも Amazon EBS ボリュームにダウンロードされます。
保管時の暗号化はデフォルトで構成されます。無効にしたり、変更したりすることはできません。現在、その設定を変更することもできません。
## カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは、 AWS マネジメントコンソール または AWS KMS APIs を使用して作成できます。
**対称カスタマーマネージドキーを作成するには**
AWS Key Management Service デベロッパーガイド にある [対称カスタマーマネージドキーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) ステップに従います。
**キーポリシー**
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、AWS Key Management Service デベロッパーガイド の「[カスタマーマネージドキーへのアクセスの管理](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)」を参照してください。
AWS Mainframe Modernization リソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` - カスタマーマネージドキーに許可を追加します。指定された KMS キーへのアクセスを制御する権限を付与します。これにより、 Mainframe Modernization が必要とする[権限付与オペレーション](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) AWS へのアクセスが可能になります。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMS でのグラント](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。
これにより、 AWS Mainframe Modernization は以下を実行できます。
+ `GenerateDataKey` を呼び出して、暗号化されたデータキーを生成して保存します。データキーは暗号化にすぐには使用されないからです。
+ `Decrypt` を呼び出して、保存された暗号化データキーを使用して暗号化データにアクセスします。
+ `RetireGrant` へのサービスを許可するために、削除プリンシパルを設定します。
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)` – AWS Mainframe Modernization がキーを検証できるように、カスタマーマネージドキーの詳細を提供します。
AWS Mainframe Modernization には、顧客のキーポリシーに `kms:CreateGrant`および アクセス`kms:DescribeKey`許可が必要です。 AWS Mainframe Modernization はこのポリシーを使用して、それ自体の許可を作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
**注記**
前の例`Principal`の のロールは、 `CreateApplication`や などの AWS Mainframe Modernization オペレーションに使用するロールです`CreateEnvironment`。
[ポリシーでの許可の指定](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements)に関する詳細については、「*AWS Key Management Service デベロッパーガイド*」を参照してください。
[キーアクセスのトラブルシューティング](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)に関する詳細については、「AWS Key Management Service デベロッパーガイド」を参照してください。**
## AWS Mainframe Modernization のカスタマーマネージドキーの指定
カスタマーマネージドキーを指定して、次のリソースを暗号化できます。
+ アプリケーション
+ 環境
リソースを作成するときは、**KMS ID** を入力してキーを指定できます。これは AWS Mainframe Modernization がリソースに保存されている機密データの暗号化に使用します。
+ **KMS ID** - カスタマーマネージドキーの[キー識別子](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)。キー ID、キー ARN、エイリアス名、またはエイリアス ARN を入力します。
カスタマーマネージドキーは、 AWS マネジメントコンソール または を使用して指定できます AWS CLI。
でランタイム環境を作成するときにカスタマーマネージドキーを指定するには AWS マネジメントコンソール、「」を参照してください[AWS Mainframe Modernization ランタイム環境を作成する](create-environments-m2.md)。でアプリケーションを作成するときにカスタマーマネージドキーを指定するには AWS マネジメントコンソール、「」を参照してください[AWS Mainframe Modernization アプリケーションを作成する](applications-m2-create.md)。
を使用してランタイム環境を作成するときにカスタマーマネージドキーを追加するには AWS CLI、次のように `kms-key-id`パラメータを指定します。
```
aws m2 create-environment —engine-type microfocus —instance-type M2.m5.large
--publicly-accessible —engine-version 7.0.3 —name test
--high-availability-config desiredCapacity=2
--kms-key-id myEnvironmentKey
```
を使用してアプリケーションを作成するときにカスタマーマネージドキーを追加するには AWS CLI、次のように `kms-key-id`パラメータを指定します。
```
aws m2 create-application —name test-application —description my description
--engine-type microfocus
--definition content="$(jq -c . raw-template.json | jq -R)"
--kms-key-id myApplicationKey
```
## AWS Mainframe Modernization 暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、データに関する追加のコンテキスト情報を含むキーと値のペアのオプションセットです。
AWS KMS は、追加の認証済みデータとして暗号化コンテキストを使用して、認証済み暗号化をサポートします。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
**AWS Mainframe Modernization 暗号化コンテキスト**
AWS Mainframe Modernization は、アプリケーションに関連するすべての AWS KMS 暗号化オペレーション (アプリケーションの作成とデプロイの作成) で同じ暗号化コンテキストを使用します。ここで、キーは `aws:m2:app`で、値はアプリケーションの一意の識別子です。
**Example**
```
"encryptionContextSubset": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd"
}
```
**モニタリングに暗号化コンテキストを使用する**
対称カスタマーマネージドキーを使用してアプリケーションやランタイム環境を暗号化する場合は、カスタマーマネージドキーがどのように使用されているかを特定するために、暗号化コンテキストを監査記録やログで使用することもできます。
**暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する**
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための `conditions` として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することができます。グラントに暗号化コンテキストの制約を使用することもできます。
AWS Mainframe Modernization は、権限の暗号化コンテキスト制約を使用して、アカウントまたはリージョンのカスタマーマネージドキーへのアクセスを制御します。グラントの制約では、指定された暗号化コンテキストの使用をグラントが許可するオペレーションが必要です。次の例は、 AWS Mainframe Modernization がアプリケーションの作成時にアプリケーションアーティファクトを暗号化するために使用する許可です。
```
//This grant is retired immediately after create application finish
{
"grantee-principal": m2.us-west-2.amazonaws.com,
"retiring-principal": m2.us-west-2.amazonaws.com,
"operations": [
"GenerateDataKey"
]
"condition": {
"encryptionContextSubset": {
“aws:m2:app”: “a1bc2defabc3defabc4defabcd”
}
}
```
## AWS Mainframe Modernization の暗号化キーのモニタリング
AWS Mainframe Modernization リソースで AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して AWS 、 Mainframe Modernization が送信するリクエストを追跡できます AWS KMS。
### ランタイム環境の例
次の例は`DescribeKey`、 AWS Mainframe Modernization によって呼び出された KMS オペレーションをモニタリング`Decrypt`し`CreateGrant`、カスタマーマネージドキーによって暗号化されたデータにアクセスするための `GenerateDataKey`、、、および の AWS CloudTrail イベントです。
------
#### [ DescribeKey ]
AWS Mainframe Modernization は `DescribeKey`オペレーションを使用して、ランタイム環境に関連付けられた AWS KMS カスタマーマネージドキーがアカウントとリージョンに存在するかどうかを確認します。
次に、`DescribeKey` オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T19:40:26Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-12-06T20:23:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.182",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
------
#### [ CreateGrant ]
AWS KMS カスタマーマネージドキーを使用してランタイム環境を暗号化すると、 AWS Mainframe Modernization はユーザーに代わって必要な KMS オペレーションを実行するための複数の`CreateGrant`リクエストを送信します。 AWS Mainframe Modernization が作成する許可の一部は、使用直後に廃止されます。その他は、ランタイム環境を削除すると廃止されます。
次のイベント例は、環境作成ワークフローに関連付けられた Lambda 実行ロールの `CreateGrant` オペレーションを記録します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T20:11:45Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T20:23:09Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Encrypt",
"Decrypt",
"ReEncryptFrom",
"ReEncryptTo",
"GenerateDataKey",
"GenerateDataKey",
"DescribeKey",
"CreateGrant"
],
"granteePrincipal": "m2.us-west-2.amazonaws.com",
"retiringPrincipal": "m2.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
次のイベント例は、Auto Scaling グループのサービスにリンクされたロールの `CreateGrant` オペレーションを記録します。環境作成ワークフローに関連付けられた Lambda 実行ロールがこの `CreateGrant` オペレーションを呼び出します。Auto Scaling グループのサービスにリンクされたロールに対してサブグラントを作成するアクセス許可を実行ロールに付与します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65MZFUPM4JO:EnvironmentWorkflow-alpha-CreateEnvironmentLambda7-HfxDj5zz86tr",
"arn": "arn:aws:sts::111122223333:assumed-role/EnvironmentWorkflow-alpha-CreateEnvironmentLambdaS-1AU4A8VNQEEKN/EnvironmentWorkflow-alpha-CreateEnvironmentLambda7-HfxDj5zz86tr",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/EnvironmentWorkflow-alpha-CreateEnvironmentLambdaS-1AU4A8VNQEEKN",
"accountId": "111122223333",
"userName": "EnvironmentWorkflow-alpha-CreateEnvironmentLambdaS-1AU4A8VNQEEKN"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T20:22:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-12-06T20:23:09Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "54.148.236.160",
"userAgent": "aws-sdk-java/2.18.21 Linux/4.14.255-276-224.499.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.14.1+10-LTS Java/11.0.14.1 vendor/Amazon.com_Inc. md/internal exec-env/AWS_Lambda_java11 io/sync http/Apache cfg/retry-mode/legacy",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Encrypt",
"Decrypt",
"ReEncryptFrom",
"ReEncryptTo",
"GenerateDataKey",
"GenerateDataKey",
"DescribeKey",
"CreateGrant"
],
"granteePrincipal": "m2.us-west-2.amazonaws.com",
"retiringPrincipal": "m2.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
}
```
------
#### [ GenerateDataKey ]
ランタイム環境リソースの AWS KMS カスタマーマネージドキーを有効にすると、Auto Scaling はランタイム環境に関連付けられた Amazon EBS ボリュームを暗号化するための一意のキーを作成します。リソースの AWS KMS カスタマーマネージドキー AWS KMS を指定する`GenerateDataKey`リクエストを に送信します。
次に、`GenerateDataKey` オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65EEXVIEH7D:AutoScaling",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForAutoScaling/AutoScaling",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling",
"accountId": "111122223333",
"userName": "AWSServiceRoleForAutoScaling"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T20:23:16Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "autoscaling.amazonaws.com"
},
"eventTime": "2022-12-06T20:23:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "autoscaling.amazonaws.com",
"userAgent": "autoscaling.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-080f7a32d290807f3"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"numberOfBytes": 64
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
暗号化されたランタイム環境にアクセスすると、Amazon EBS は `Decrypt` オペレーションを呼び出し、保存されている暗号化されたデータキーを使用して暗号化されたデータにアクセスします。
次に、`Decrypt` オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ebs.amazonaws.com"
},
"eventTime": "2022-12-06T20:23:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "ebs.amazonaws.com",
"userAgent": "ebs.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:ebs:id": "vol-080f7a32d290807f3"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
### アプリケーションのサンプル
次の例は、 AWS Mainframe Modernization によって呼び出される KMS オペレーションをモニタリングし、カスタマーマネージドキーによって暗号化されたデータにアクセス`GenerateDataKey`するための `CreateGrant`および の AWS CloudTrail イベントです。
------
#### [ CreateGrant ]
AWS KMS カスタマーマネージドキーを使用してアプリケーションリソースを暗号化すると、Lambda 実行ロールはユーザーに代わって AWS アカウントの KMS キーにアクセスする`CreateGrant`リクエストを送信します。この許可により、Lambda 実行ロールはカスタマーマネージドキーを使用してカスタマーアプリケーションリソースを Amazon S3 にアップロードできます。この許可は、アプリケーションが作成された直後に廃止されます。
次に、`CreateGrant` オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T21:51:45Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T22:47:04Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd"
}
},
"retiringPrincipal": "m2.us-west-2.amazonaws.com",
"operations": [
"GenerateDataKey"
],
"granteePrincipal": "m2.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
アプリケーションリソースの AWS KMS カスタマーマネージドキーを有効にすると、Lambda 実行ロールは、顧客データを暗号化して Amazon Simple Storage Service にアップロードするために使用するキーを作成します。Lambda 実行ロールは、リソースの AWS KMS カスタマーマネージドキー AWS KMS を指定する`GenerateDataKey`リクエストを に送信します。
以下のイベント例では、`GenerateDataKey` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65CLCEKKC7Z:ApplicationWorkflow-alpha-CreateApplicationVersion-CstWZUn5R4u6",
"arn": "arn:aws:sts::111122223333:assumed-role/ApplicationWorkflow-alpha-CreateApplicationVersion-1IZRBZYDG20B/ApplicationWorkflow-alpha-CreateApplicationVersion-CstWZUn5R4u6",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/ApplicationWorkflow-alpha-CreateApplicationVersion-1IZRBZYDG20B",
"accountId": "111122223333",
"userName": "ApplicationWorkflow-alpha-CreateApplicationVersion-1IZRBZYDG20B"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T23:28:32Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T23:29:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd",
"aws:s3:arn": "arn:aws:s3:::supernova-processedtemplate-111122223333-us-west-2/111122223333/a1bc2defabc3defabc4defabcd/1/cics-transaction/ZBNKE35.so"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
### デプロイの例
次の例は、 AWS Mainframe Modernization によって呼び出される KMS オペレーションをモニタリングし、カスタマーマネージドキーによって暗号化されたデータにアクセス`Decrypt`するための `CreateGrant`および の AWS CloudTrail イベントです。
------
#### [ CreateGrant ]
AWS KMS カスタマーマネージドキーを使用してデプロイリソースを暗号化すると、 AWS Mainframe Modernization はユーザーに代わって 2 つの`CreateGrant`リクエストを送信します。最初の許可は、ListBatchJobScriptFiles を呼び出す現在の Lambda 実行ロールに対するもので、デプロイが完了するとすぐに廃止されます。2 つ目の許可は、Amazon EC2 がお客様のアプリケーションリソースを Amazon S3 からダウンロードできるようにするための Amazon EC2 のスコープダウンインスタンスロールに対するものです。この許可は、アプリケーションがランタイム環境から削除されると廃止されます。
以下のイベント例では、`CreateGrant` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T21:51:45Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T23:40:07Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"operations": [
"Decrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd"
}
},
"granteePrincipal": "m2.us-west-2.amazonaws.com",
"retiringPrincipal": "m2.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
デプロイにアクセスすると、Amazon EC2 は `Decrypt` オペレーションを呼び出し、保存されている暗号化されたデータキーを使用して、暗号化された顧客データを復号化して Amazon S3 からダウンロードします。
以下のイベント例では、`Decrypt` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65BSPZ37E6G:m2-hm-bqe367dxtfcpdbzmnhfzranisu",
"arn": "arn:aws:sts::111122223333:assumed-role/SupernovaEnvironmentInstanceScopeDownRole/m2-hm-bqe367dxtfcpdbzmnhfzranisu",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/SupernovaEnvironmentInstanceScopeDownRole",
"accountId": "111122223333",
"userName": "SupernovaEnvironmentInstanceScopeDownRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T23:19:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T23:40:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:m2:app": "a1bc2defabc3defabc4defabcdm",
"aws:s3:arn": "arn:aws:s3:::supernova-processedtemplate-111122223333-us-west-2/111122223333/a1bc2defabc3defabc4defabcdm/1/cics-transaction/BBANK40P.so"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
## 詳細情報
次のリソースは、保管時のデータ暗号化についての詳細を説明しています。
+ [AWS Key Management Service 基本概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)の詳細については、「*AWS Key Management Service デベロッパーガイド*」を参照してください。
+ 詳細については、「AWS Key Management Service デベロッパーガイド」の「[AWS Key Management Serviceのセキュリティのベストプラクティス](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)」を参照してください。**
## 転送中の暗号化
トランザクションワークロードの一部であるインタラクティブアプリケーションの場合、ターミナルエミュレータと TN3270 プロトコルの AWS Mainframe Modernization サービスエンドポイント間のデータ交換は転送中に暗号化されません。アプリケーションが転送中に暗号化を必要とする場合は、追加のトンネリングメカニズムを実装してください。
AWS Mainframe Modernization は HTTPS を使用してサービス APIs。 AWS Mainframe Modernization 内の他のすべての通信は、HTTPS と同様にサービス VPC またはセキュリティグループによって保護されます。 AWS Mainframe Modernization は、アプリケーションアーティファクト、設定、およびアプリケーションデータを転送します。アプリケーションアーティファクトは、アプリケーションデータと同様に、所有している Amazon S3 バケットからコピーされます。Amazon S3 へのリンクを使用するか、ファイルをローカルにアップロードして、アプリケーション設定を提供できます。
転送中の基本的な暗号化はデフォルトで設定されていますが、TN3270 プロトコルには適用されません。 AWS Mainframe Modernization は API エンドポイントに HTTPS を使用します。API エンドポイントもデフォルトで設定されています。