【AWS】AWS KMS キーポリシーは CloudTrail に十分なアクセス権を付与しません。エラー

◆エラー内容

CloudTrailでKMSを使った暗号化を設定しようとしたら以下エラーが発生した。


「AWS KMS キーポリシーは CloudTrail に十分なアクセス権を付与しません。」

◆解決策

以下を設定して解決

設定AWS KMSCloudTrail の重要なポリシー
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html


具体的には、KMSのポリシーに以下を追加した。

        {
          "Sid": "Allow CloudTrail to encrypt logs",
          "Effect": "Allow",
          "Principal": {
            "Service": "cloudtrail.amazonaws.com"
          },
          "Action": "kms:GenerateDataKey*",
          "Resource": "*",
          "Condition": {
            "StringLike": {
              "kms:EncryptionContext:aws:cloudtrail:arn": [
                "arn:aws:cloudtrail:*:【aws-account-id】:trail/*"
              ]
            }
          }
        },
        {
          "Sid": "Enable CloudTrail log decrypt permissions",
          "Effect": "Allow",
          "Principal": {
            "AWS": [
                "arn:aws:iam::【aws-account-id】:root",
                "arn:aws:iam::【aws-account-id】:user/【username】"
            ]
          },
          "Action": "kms:Decrypt",
          "Resource": "*",
          "Condition": {
            "Null": {
              "kms:EncryptionContext:aws:cloudtrail:arn": "false"
            }
          }
        },
        {
          "Sid": "Allow CloudTrail access",
          "Effect": "Allow",
          "Principal": {
            "Service": "cloudtrail.amazonaws.com"
          },
          "Action": "kms:DescribeKey",
          "Resource": "*"
        },

テーマ : プログラミング
ジャンル : コンピュータ

コメントの投稿

非公開コメント

検索フォーム
カテゴリ
AWS (5)
カレンダー
10 | 2021/11 | 12
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 - - - -
最新記事
おすすめ

RSSリンクの表示
リンク
QRコード
QR