• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# S3 リソースを暗号化するための AWS KMS カスタマーマネージドキーへの変更
Systems Manager の統合コンソールのオンボーディングプロセス中に、Quick Setup は委任管理者アカウントに Amazon Simple Storage Service (Amazon S3) バケットを作成します。このバケットは、修復ランブックの実行中に生成された診断出力データを保存するために使用されます。デフォルトでは、このバケットは Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を使用します。
これらのポリシーのコンテンツについては、「[Systems Manager 統合コンソールの S3 バケットポリシー](remediate-s3-bucket-policies.md)」を参照してください。
ただし、AWS KMS keyの代わりにカスタマーマネージドキー (CMK) を使用して、AWS KMS keysによるサーバー側の暗号化 (SSE-KMS) を使用することもできます。
CMK を使用するように Systems Manager を設定するには、以下のタスクを実行します。
## タスク 1: 既存の CMK にタグを追加する
AWS Systems Manager は、次のキーと値のペアでタグ付けされている場合にのみ CMK を使用します。
+ キー: `SystemsManagerManaged`
+ 値: `true`
次の手順を使用して、CMK で S3 バケットを暗号化するためのアクセス権を付与します。
**既存の CMK にタグを追加する手順**
1. AWS KMS コンソール ([https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)) を開きます。
1. 左のナビゲーションで、**[カスタマーマネージドキー]** を選択します。
1. AWS Systems Manager で使用する AWS KMS keyを選択します。
1. **[タグ]** タブを選択し、次に **[編集]** を選択します。
1. **[タグを追加]** を選択します。
1. 以下の操作を実行します。
1. [**Tag key (タグキー)**] に、**SystemsManagerManaged** と入力します。
1. **[タグ値]** に **true** と入力します。
1. **[保存]** を選択します。
## タスク 2: 既存の CMK キーポリシーを変更する
次の手順を使用して、AWS Systems Manager のロールがユーザーの代わりに S3 バケットを暗号化できるように、CMK の [KMS キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)を更新します。
**既存の CMK キーポリシーを変更する手順**
1. AWS KMS コンソール ([https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)) を開きます。
1. 左のナビゲーションで、**[カスタマーマネージドキー]** を選択します。
1. AWS Systems Manager で使用する AWS KMS keyを選択します。
1. **アクセスポリシー** タブで **編集** を選択します。
1. 次の JSON ステートメントを `Statement` フィールドに追加し、*プレースホルダー値*を独自の情報に置き換えます。
AWS Systems Manager にオンボーディングされている組織内のすべての AWS アカウント ID を、`Principal` フィールドに追加する必要があります。
Amazon S3 コンソールで正しいバケット名を見つけるには、委任管理者アカウントで、`do-not-delete-ssm-operational-account-id-home-region-disambiguator` の形式のバケットを探します。
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**ヒント**
または、[aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 条件キーを使用して CMK キーポリシーを更新することにより、AWS Systems Manager に CMK へのアクセスを許可することもできます。
## タスク 3: Systems Manager 設定で CMK を指定する
上記の 2 つのタスクを完了したら、次の手順を使用して S3 バケットの暗号化を変更します。この変更により、関連付けられた Quick Setup 設定プロセスで、Systems Manager が CMK を受け入れるためのアクセス許可を追加できるようになります。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[診断および修復]** タブの **[S3 バケットの暗号化の更新]** セクションで、**[編集]** を選択します。
1. **[暗号化設定のカスタマイズ (高度)]** チェックボックスを選択します。
1. 検索 (![\[The search icon\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/search-icon.png)) ボックスで、既存のキーの ID を選択するか、既存のキーの ARN を貼り付けます。
1. **[保存]** を選択します。