バージニア北部リージョンのCloudWacthLogsをKMSで暗号化出来ない

CloudFrontでSSLを使う場合、バージニア北部リージョンでACM発行となる。そのおかげで、Route53クエリログがバージニア北部にも出来るが、暗号化されていない。既存ロググループの暗号化AWS CLIコマンドを以下のように叩くと

aws logs associate-kms-key --log-group-name ロググループ名 --kms-key-id キーARN --region us-east-1

以下のエラーが出た。

An error occurred (InvalidParameterException) when calling the AssociateKmsKey operation: The specified KMS Key Id could not be found.

AWS CLIのキーを再発行したり、–region以外に export や set などAWS CLIの実行がダメなのかと思い、いろいろためしたけど、最終的に以下の対応で解決。

キーポリシーのprncipalに以下のように”Service”: “logs.us-east-1.amazonaws.com”を追加するとエラーを出さず、コマンド実行できる。

    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::○☓△○☓△○☓△○☓△:user/kms-user"
        ],
        "Service": "logs.us-east-1.amazonaws.com"
      },

AWSの記事でコメントをいただくことがしばしばあるため、コメント機能を有効化しました。
ただ、申し訳ないのですが過去のコメントについては、WPの仕様で基本的に表示できません。
そのうち調べて表示します。お気軽にコメントください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください