VPC Flowlog(KMSキー対応)実装手順書#
KMSで暗号化キーを作成する <ログアカウントでの作業>#
本ステップでは、VPC FlowlogがS3にPUTする際に暗号化で利用するKMSのカスタマーマスターキー(以下、CMK) を作成します。
カスタマーポリシーは、今回はVPC Flowlogの書き込みに必要な最低限のポリシーを付与しています。
- マネジメントコンソールにて
KMSを開きます。
2. KMS 画面でS3バケットと同じ東京リージョンであることを確認し、キーの作成 をクリックします。異なるリージョンが選択されている場合、東京リージョンに切り替えます。
3. 以下の設定を行ない、次へ をクリックします。
| 項目 | ID |
|---|---|
| キーのタイプ | 対称 |
| キーマテリアルオリジン | KMS |
4. 以下の設定を行ない、次へ をクリックします。
| 項目 | 設定値 |
|---|---|
| エイリアス | vpc-flowlogs |
| 説明 | vpc-flowlogs |
5. キーの管理アクセス許可を定義 では追加設定は行なわず、次へをクリックします。
6. キーの使用アクセス許可を定義 では追加設定は行なわず、次へをクリックします。
7. キーポリシー以下に記載しているポリシーをコピーペーストで貼り付け、完了をクリックします。
ポリシーで設定している内容は以下の通りです
{
"Version": "2012-10-17",
"Id": "Key policy created by VPC Flowlogs",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:root",
"arn:aws:sts::222222222222:assumed-role/OrganizationAccountAccessRole/admin"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow use of the KMS key for organization",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GetKeyPolicy",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
ARN確認とキーローテーションの設定 ログアカウントでの作業>#
- 作成したCMKをクリックします。
- CMKのARNをコピーし、テキストエディタ等で控えておきます。
キーローテーションタブをクリックし、このCMKを毎年自動的にローテーションします。にチェックを入れ、保存をクリックします。