선릉역 1번 출구
CloudWatch logs 암호화 with KMS 본문
KMS 키를 로그 그룹에 연결하면, 로그 그룹에 대해 새로 수집된 데이터가 해당 키를 사용하여 암호화됨
CloudWatch Logs는 요청될 때마다 이 데이터를 해독하는데, 암호화된 데이터가 요청될 때마다 로그에 KMS 키에 대한 권한이 필요함
1) AWS KMS 키 생성
세부 설정은 필요한 값에 따라 자유롭게 설정
마지막 검토 단계의 키 정책을 아래와 같이 수정 必
{
"Version": "2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Your_account_ID:root"
#Your_account_ID 설정 필요
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:region:account-id:log-group:log-group-name"
#region, accout-id, log-group-name 설정 필요, log-group-name을 *으로 설정 시 모든 로그 그룹 사용 가능
}
}
}
]
}
2) CloudWatch Logs에 KMS 적용
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id "key-arn"
※ 정책 설정이 잘못됐을 때 아래와 같은 에러 발생
An error occurred (AccessDeniedException) when calling the AssociateKmsKey operation: The specified KMS key does not exist or is not allowed to be used with Arn
참고사이트
https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html
다음을 사용하여 Logs의 로그 데이터를 암호화합니다. CloudWatch AWS Key Management Service - 아마존 CloudWa
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
'Computer > Cloud Computing' 카테고리의 다른 글
| [AWS] RDS (0) | 2023.12.14 |
|---|---|
| [AWS] ALB - /admin 페이지 사용자 지정 문구 반환 Rule 생성 (0) | 2023.12.13 |
| [AWS] KMS와 CloudHSM (0) | 2023.11.14 |
| [AWS] 서비스 요약 - Container (0) | 2023.05.04 |
| [AWS] 서비스 요약 - Computing (0) | 2023.05.04 |
'Computer/Cloud Computing' Related Articles
more
Comments