スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

S3 バケットが、KMS キーで暗号化されたオブジェクトのみを保存するよう設定する方法を教えてください。

所要時間1分
1

Amazon Simple Storage Service (Amazon S3) バケットにおいて、AWS アカウント 内の AWS Key Management Service (AWS KMS) キーで暗号化されたオブジェクトのみを保存するようにしたいと考えています。該当するオブジェクトのみをバケットにアップロードできるようにする方法を教えてください。

簡単な説明

Amazon S3 のデフォルト暗号化を使用すると、アップロードするオブジェクトを S3 バケットに保存する前に、暗号化ヘッダー (例: x-amz-server-side-encryption、x-amz-server-side-encryption-aws-kms-key-id) を含まないオブジェクトを AWS KMS で暗号化できます。次に、バケットポリシーを使用すると、他の暗号化設定 (AES-256) が行われたオブジェクトのアップロードは許可されず、AWS KMS 暗号化でアップロードされたオブジェクトには、AWS アカウント内のキー ID が付与されます。

注: AWS KMS キーで暗号化されたオブジェクトをアップロードするには、キーと S3 バケットを同じ AWS リージョンに配置する必要があります。

解決策

Amazon S3 のデフォルト暗号化

Amazon S3 コンソールを使用し、バケットの Amazon S3 デフォルト暗号化を AWS KMS に設定するには、次の手順を実行します。

  1. Amazon S3 コンソールを開きます。
  2. AWS KMS で暗号化されたオブジェクトに使用するバケットを選択します。
  3. [プロパティ] ビューを選択します。
  4. [デフォルトの暗号化] を選択し、[AWS-KMS] を選択します。
  5. [保存] を選択します。

注: REST API、AWS コマンドラインインターフェイス (AWS CLI)、または AWS SDK を使用して Amazon S3 のデフォルト暗号化を有効にする方法については、「デフォルト暗号化を構成する」を参照してください。

バケットポリシー

次の手順を実行し、バケットポリシーにおいて、リクエストが他の暗号化設定 (AES-256) を使用する場合、または AWS KMS 暗号化を使用しているものの AWS アカウントに属していないキー ID を含む場合に拒否する設定を行います。

  1. Amazon S3 コンソールを開きます。
  2. AWS KMS で暗号化されたオブジェクトに使用するバケットを選択します。
  3. [アクセス許可] ビューを選択します。
  4. [バケットポリシー] を選択します。
  5. 次の例を参考にバケットポリシーを入力します。
    注: samplebucketname をバケット名に、us-east-1:111122223333 を適切な AWS リージョンおよび AWS アカウント ID に置き換えてください。
{
    "Version": "2012-10-17",
    "Id": "PutObjPolicy",
    "Statement": [
        {
            "Sid": "DenySSE-S3",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::samplebucketname/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-server-side-encryption": "AES256"
                }
            }
        },
  {
            "Sid": "RequireKMSEncryption",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::samplebucketname/*",
            "Condition": {
                "StringNotLikeIfExists": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/*"
                }
            }
        }
    ]
}

関連情報

Amazon Simple Storage Service (Amazon S3) が AWS KMS を使用する際の動作

トピック
Storage
タグ
Amazon Simple Storage Service
言語
日本語
AWS公式更新しました 2年前
コメントはありません

関連するコンテンツ