投稿日: Feb 19, 2021
AWS Config は、お客様が指定する AWS Key Management Service (KMS) キーまたはエイリアス Amazon リソースネーム (ARN) を使用して、Amazon Simple Storage Service (S3) バケットに配信されるデータを暗号化する機能のサポートの提供を開始しました。デフォルトでは、AWS Config は設定履歴とスナップショットファイルを S3 バケットに配信し、S3 AES-256 サーバー側の暗号化 (SSE-S3) を使用して保存中のデータを暗号化します。このリリースでは、AWS Config に KMS キーまたはエイリアス ARN を提供すると、AWS Config は AES-256 暗号化を使用する代わりにその KMS キーを使用します。
使用を開始するには、KMS キーを作成し、GenerateDataKey および Decrypt へのアクセス権限を使用して設定します。その後、S3 KMS キー、ARN、またはエイリアス ARN を使用して PutDeliveryChannel API を呼び出すことにより、AWS Config に KMS キーを提供できます。S3 バケットに配信されるオブジェクトは、KMS CMK を使用したサーバー側の暗号化を使用して暗号化されます。AWS Config に KMS キーまたはエイリアス ARN を提供しない場合、AWS Config はデフォルトで配信されたデータを AES-256 暗号化で暗号化します。
AWS Config で使用される S3 バケットでの KMS 暗号化のサポートは、すべての商用 AWS リージョンと AWS GovCloud (米国) で追加費用なしでご利用いただけます。
AWS Config の詳細については、AWS Config のウェブページをご参照ください。
AWS Key Management Service (AWS KMS) を作成および設定する方法の詳細については、AWS Key Management Service のドキュメントをご参照ください。