AWS Configの構成#
KMSで暗号化キーを作成する <ログアカウントでの作業>#
本ステップでは、ConfigがS3にPUTする際に暗号化で利用するKMSのカスタマーマスターキー(以下、CMK) を作成します。
カスタマーポリシーは、今回はConfigの書き込みに必要な最低限のポリシーを付与しています。
- マネジメントコンソールにて
KMSを開きます。
KMS画面でS3バケットと同じ東京リージョンであることを確認し、キーの作成をクリックします。異なるリージョンが選択されている場合、東京リージョンに切り替えます。
- 以下の設定を行ない、
次へをクリックします。
| 項目 | ID |
|---|---|
| キーのタイプ | 対称 |
| キーマテリアルオリジン | KMS |
- 以下の設定を行ない、
次へをクリックします。
| 項目 | 設定値 |
|---|---|
| エイリアス | config-CMK |
| 説明 | config-CMK |
キーの管理アクセス許可を定義では追加設定は行なわず、次へをクリックします。
キーの使用アクセス許可を定義では追加設定は行なわず、次へをクリックします。
キーポリシー以下に記載しているポリシーをコピーペーストで貼り付け、完了をクリックします。ポリシーで設定している内容は以下の通りです- このCMKの管理用
- AWS Config で使用される S3 バケットでの KMS 暗号化のサポート
- Config での CMK プロパティの記述の有効化 - AWS Config
{
"Version": "2012-10-17",
"Id": "Key policy created by Config",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::333333333333:root",
"arn:aws:sts::333333333333:assumed-role/OrganizationAccountAccessRole/admin"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow use of the KMS key for organization",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GetKeyPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-yyyyyyyy"
}
}
}
]
}
ARN確認とキーローテーションの設定#
- 作成したCMKをクリックします。
- CMKのARNをコピーし、テキストエディタ等で控えておきます。
キーローテーションタブをクリックし、このCMKを毎年自動的にローテーションします。にチェックを入れ、保存をクリックします。
