バージニア北部リージョンのCloudWacthLogsをKMSで暗号化出来ない

CloudFrontでSSLを使う場合、バージニア北部リージョンでACM発行となる。そのおかげで、Route53クエリログがバージニア北部にも出来るが、暗号化されていない。既存ロググループの暗号化AWS CLIコマンドを以下のように叩くと

aws logs associate-kms-key --log-group-name ロググループ名 --kms-key-id キーARN --region us-east-1

以下のエラーが出た。

An error occurred (InvalidParameterException) when calling the AssociateKmsKey operation: The specified KMS Key Id could not be found.

AWS CLIのキーを再発行したり、–region以外に export や set などAWS CLIの実行がダメなのかと思い、いろいろためしたけど、最終的に以下の対応で解決。

キーポリシーのprncipalに以下のように”Service”: “logs.us-east-1.amazonaws.com”を追加するとエラーを出さず、コマンド実行できる。

    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::○☓△○☓△○☓△○☓△:user/kms-user"
        ],
        "Service": "logs.us-east-1.amazonaws.com"
      },

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください