OrganizationsでのCloudTrail証跡一括取得 + ログアカウントでのKMS CMK暗号化実装手順#
KMSで暗号化キーを作成する <ログアカウントでの作業>#
本ステップでは、CloudTrailがS3にPUTする際に暗号化で利用するKMSのカスタマーマスターキー(以下、CMK) を作成します。
カスタマーポリシーは、今回はCloudTrailの書き込みに必要な最低限のポリシーを付与しています。
- マネジメントコンソールにて
KMSを開きます。
KMS画面でS3バケットと同じ東京リージョンであることを確認し、キーの作成をクリックします。異なるリージョンが選択されている場合、東京リージョンに切り替えます。
3. 以下の設定を行ない、次へ をクリックします。
| 項目 | ID |
|---|---|
| キーのタイプ | 対称 |
| キーマテリアルオリジン | KMS |
4. 以下の設定を行ない、次へ をクリックします。
| 項目 | 設定値 |
|---|---|
| エイリアス | logging-CMK |
| 説明 | logging-CMK |
キーの管理アクセス許可を定義では追加設定は行なわず、次へをクリックします。
キーの使用アクセス許可を定義では追加設定は行なわず、次へをクリックします。
7. キーポリシー以下に記載しているポリシーをコピーペーストで貼り付け、完了をクリックします。
ポリシーで設定している内容は以下の通りです
- このCMKの管理用
- CloudTrailへのKMSを利用した暗号化権限の付与
- CloudTrail での CMK プロパティの記述の有効化 - AWS CloudTrail
{
"Version": "2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:sts::333333333333:assumed-role/OrganizationAccountAccessRole/admin",
"arn:aws:iam::333333333333:root"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
ARN確認とキーローテーションの設定 ログアカウントでの作業>#
- 作成したCMKをクリックします。
- CMKのARNをコピーし、テキストエディタ等で控えておきます。
キーローテーションタブをクリックし、このCMKを毎年自動的にローテーションします。にチェックを入れ、保存をクリックします。
