

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コンソールで KMS キーを使用するようにリソースを更新する
<a name="create-kms-key-policy-for-cloudtrail-update-trail"></a>

CloudTrail コンソールで、KMS キーを使用するように証跡またはイベントデータストアを更新します。独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生することに注意してください。詳細については、[AWS Key Management Service の料金](https://aws.amazon.com/kms/pricing/)を参照してください。

**Topics**
+ [

## KMS キーを使用するように証跡を更新する
](#kms-key-policy-update-trail)
+ [

## KMS キーを使用するようにイベントデータストアを更新する
](#kms-key-policy-update-eds)

## KMS キーを使用するように証跡を更新する
<a name="kms-key-policy-update-trail"></a>

CloudTrail で変更 AWS KMS key した を使用するように証跡を更新するには、CloudTrail コンソールで次の手順を実行します。

**注記**  
[S3 バケットキー](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)で既存の S3 バケットを使用している場合は、CloudTrail は AWS KMS アクション `GenerateDataKey` および `DescribeKey` を使用する、キーポリシーの許可を付与されていなければなりません。もし `cloudtrail.amazonaws.com` にキーポリシーの許可が与えられていない場合、証跡の作成や更新は行なえません。

を使用して証跡を更新するには AWS CLI、「」を参照してください[を使用した CloudTrail ログファイル、ダイジェストファイル、イベントデータストアの暗号化の有効化と無効化 AWS CLI](cloudtrail-log-file-encryption-cli.md)。

**KMS キーを使用するために証跡を更新するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1. [**Trails**] を選択し、証跡名を選択します。

1. [**General details**] で、[**Edit**] を選択します。

1. **[Log file SSE-KMS encryption]** (ログファイルの SSE-KMS 暗号化) で、SSE-S3 暗号化を使用する代わりに SSE-KMS 暗号化を使用してログファイルとダイジェストファイルを暗号化する場合は、**[Enabled]** (有効) を選択します。デフォルトは [**Enabled**] です。SSE-KMS 暗号化を有効にしない場合、ログファイルとダイジェストファイルは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、[AWS Key Management Service 「 (SSE-KMS) でのサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)の使用」を参照してください。SSE-S3 暗号化の詳細については、「[Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。

   [**Existing**] を選択して AWS KMS keyの証跡を更新します。ログファイルを受け取る S3 バケットと同じリージョンにある KMS キーを選択します。S3 バケットのリージョンを確認するには、S3 コンソールでそのプロパティを確認します。
**注記**  
別のアカウントのキーの ARN を入力することもできます。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](#create-kms-key-policy-for-cloudtrail-update-trail)」を参照してください。このキーポリシーは、CloudTrail がキーを使用してログファイルとダイジェストファイルを暗号化できるようにし、指定したユーザーが暗号化されていない形式でログファイルまたはダイジェストファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md) を参照してください。

   **[AWS KMS Alias]** で、CloudTrail で使用するポリシーを変更したエイリアスを、`alias/`*MyAliasName* の形式で指定します。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](#create-kms-key-policy-for-cloudtrail-update-trail)」を参照してください。

   エイリアス名、ARN、グローバルに一意のキー ID を入力できます。KMS キーが、別のアカウントに属している場合は、そのキーポリシーに使用可能なアクセス権限があることを確認します。値は、以下の形式のいずれかになります。
   + **エイリアス名**: `alias/MyAliasName`
   + **エイリアス ARN**: `arn:aws:kms:region:123456789012:alias/MyAliasName` 
   + **キー ARN**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **グローバルに一意のキー ID**: `12345678-1234-1234-1234-123456789012` 

1. [**証跡の作成**] を選択します。
**注記**  
選択した KMS キーが無効になっているか、削除が保留されている場合は、その KMS キーで証跡を保存することはできません。KMS キーを有効にするか、別の CMK を選択できます。詳細については、*AWS Key Management Service デベロッパーガイド*の「[キー状態: KMS キーへの影響](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html)」を参照してください。

## KMS キーを使用するようにイベントデータストアを更新する
<a name="kms-key-policy-update-eds"></a>

CloudTrail で変更 AWS KMS key した を使用するようにイベントデータストアを更新するには、CloudTrail コンソールで次の手順を実行します。

を使用してイベントデータストアを更新するには AWS CLI、「」を参照してください[でイベントデータストアを更新する AWS CLI](lake-cli-update-eds.md)。

**重要**  
KMS キーを無効化または削除するか、キーの CloudTrail 許可を削除すると、CloudTrail はイベントデータストアにイベントを取り込むことができなくなり、ユーザーはそのキーで暗号化されたイベントデータストア内のデータをクエリできなくなります。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。イベントデータストアで使用している KMS キーを無効化または削除する前に、イベントデータストアを削除またはバックアップしてください。

**KMS キーを使用するようにイベントデータストアを更新するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1. ナビゲーションペインで、**[Lake]** の **[Event data stores]** (イベントデータストア) を選択します。更新するイベントデータストアを選択します。

1. [**General details**] で、[**Edit**] を選択します。

1. **[Encryption]** (暗号化) で、暗号化が既に有効になっているのでなければ、**[Use my own AWS KMS key]** を選択して、自身の KMS キーでイベントデータストアを暗号化します。

   KMS キーでイベントデータストアを更新するには、**[Existing]** (既存) を選択します。イベントデータストアと同じリージョンにある KMS キーを選択します。別のアカウントからのキーはサポートされていません。

   ** AWS KMS エイリアスの入力**で、CloudTrail で使用するポリシーを変更したエイリアスを `alias/`*MyAliasName* 形式で指定します。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](#create-kms-key-policy-for-cloudtrail-update-trail)」を参照してください。

   エイリアスを選択するか、またはグローバルに一意のキー ID を使用することを選択できます。値は、以下の形式のいずれかになります。
   + **エイリアス名**: `alias/MyAliasName`
   + **エイリアス ARN**: `arn:aws:kms:region:123456789012:alias/MyAliasName` 
   + **キー ARN**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **グローバルに一意のキー ID**: `12345678-1234-1234-1234-123456789012` 

1. **[Save changes]** (変更の保存) をクリックします。
**注記**  
選択した KMS キーが無効になっているか、削除が保留されている場合は、その KMS キーでイベントデータストア設定を保存することはできません。KMS キーを有効にするか、または別のキーを選択できます。詳細については、*AWS Key Management Service デベロッパーガイド*の「[キー状態: KMS キーへの影響](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html)」を参照してください。