AWS キー管理サービス (AWS KMS) を使用して AWS S3 バケットを暗号化するには、このセクションの手順を使用します。
AWS KMS を使用して、Carbon Black Cloud データ フォワーダで使用する S3 バケットを暗号化することをお勧めします。AWS KMS でサーバ側の暗号化 (SSE) を使用すると、S3 バケットが誤って世界中に公開された場合、カスタマー管理キー (CMK) を持つもののみが AWS KMS の暗号化バケットに保存されたファイルを復号化できます。
注: SSE-KMS は、CMK がいつ誰に使用されたかを示す監査証跡を提供します。
重要: 各キー ポリシーは、KMS キーをホストするリージョンでのみ有効です。データ フォワーダと S3 バケットの間でクロスリージョンを使用することはできません。
KMS と統合
バケットからデータを取得するために Splunk などのアプリケーションと統合する場合は、統合のユーザーまたはロールがバケットから暗号化されていないデータを取得するための十分なアクセス権 (バケット、KMS キー) も付与する必要があります。