【AWS】AWS KMS キーポリシーは CloudTrail に十分なアクセス権を付与しません。エラー

◆エラー内容

CloudTrailでKMSを使った暗号化を設定しようとしたら以下エラーが発生した。


「AWS KMS キーポリシーは CloudTrail に十分なアクセス権を付与しません。」

◆解決策

以下を設定して解決

設定AWS KMSCloudTrail の重要なポリシー
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html


具体的には、KMSのポリシーに以下を追加した。

        {
          "Sid": "Allow CloudTrail to encrypt logs",
          "Effect": "Allow",
          "Principal": {
            "Service": "cloudtrail.amazonaws.com"
          },
          "Action": "kms:GenerateDataKey*",
          "Resource": "*",
          "Condition": {
            "StringLike": {
              "kms:EncryptionContext:aws:cloudtrail:arn": [
                "arn:aws:cloudtrail:*:【aws-account-id】:trail/*"
              ]
            }
          }
        },
        {
          "Sid": "Enable CloudTrail log decrypt permissions",
          "Effect": "Allow",
          "Principal": {
            "AWS": [
                "arn:aws:iam::【aws-account-id】:root",
                "arn:aws:iam::【aws-account-id】:user/【username】"
            ]
          },
          "Action": "kms:Decrypt",
          "Resource": "*",
          "Condition": {
            "Null": {
              "kms:EncryptionContext:aws:cloudtrail:arn": "false"
            }
          }
        },
        {
          "Sid": "Allow CloudTrail access",
          "Effect": "Allow",
          "Principal": {
            "Service": "cloudtrail.amazonaws.com"
          },
          "Action": "kms:DescribeKey",
          "Resource": "*"
        },

テーマ : プログラミング
ジャンル : コンピュータ

このページのトップへ

コメントの投稿

非公開コメント

このページのトップへ
« 前の記事  ホーム  次の記事 »
このページのトップへ
検索フォーム


カテゴリ
AWS (5)
カレンダー
04 | 2022/05 | 06
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -
最新記事
おすすめ

RSSリンクの表示
リンク
このブログをリンクに追加する
QRコード
QR