Amazon Key Management Service(KMS)のWorkato EKMへの接続
Amazon Key Management Service (KMS)をWorkato Enterprise Key Management(EKM)と併用すると、独自の暗号化キーをWorkatoに持ち込むことができます。 コンプライアンス要件およびセキュリティ要件を満たすだけでなく、AWS KMSで詳細なアクティビティログを表示し、いつどこでデータにアクセスできるかを把握できます。
このガイドでは、AWS KMSでキーを作成し、WorkatoでEKMを設定する方法について説明します。
前提条件
このガイドのタスクを実行するには、次が必要です。
Workatoでの次の要件:
- Enterprise Key Management機能が有効になっているアカウント
- Key management権限を持つユーザーロール
Amazon Web Services(AWS)での次の要件:
- AWS KMSでキーを作成および更新できる権限。 詳細については、KMSキーを作成するための権限を参照してください。
ステップ1: キーの作成と設定
ステップ1.1: Workatoキーポリシーの取得
まだサインインしていない場合は、Workatoにサインインします。
ワークスペース管理者 > Settings > Encryption keysに移動します。
How do you want to encrypt your data?フィールドで、ドロップダウンからAWS KMS keyを選択します。
Step 1をクリックして、キーポリシーにアクセスします。

次のステップを完了するには、このページが必要です。
ステップ1.2: AWSでのキーの設定
AWSでキーを設定するには、次の手順を完了します。
注
このチュートリアルでは新しいキーの作成方法を説明していますが、既存のキーを使用することもできます。
AWS Management Consoleにサインインし、KMS consoleを開きます。
ナビゲーションペインで、Customer managed keysをクリックします。
Customer managed keysページで、Create keyをクリックします。
Step 1 - Configure keyページで:
次のフィールドを設定します。
- Key type: Symmetricを選択します。 このキータイプの詳細については、AWS KMSのドキュメントを参照してください。
- Advanced options > Key material origin: KMSを選択します。

次へをクリックします。
Step 2 - Add labelsページで:
Aliasフィールドに、キーの表示名を入力します。
必要に応じて他のフィールドを設定します。
次へをクリックします。
AWSで残りの手順を進め、必要に応じてフィールドを設定します。 Nextをクリックして次のページに進みます。
Step 5 - Reviewページに到達したら:
ステップ1.1のWorkatoワークスペース管理者設定タブに戻ります。
Permission to access keyフィールドの内容をコピーします。
AWSで、その内容をKey policyフィールドのデフォルトポリシーのStatementプロパティに貼り付けます。
Note: Statementプロパティに保持する必要があるオブジェクトが複数ある場合は、最後のオブジェクト以外のすべてのオブジェクトの後にカンマ(,)を追加します。
複数のStatementオブジェクトを含むキーポリシー
{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TODO-ACCOUNTID:root"
},
"Action": "kms:*",
"Resource": "*"
}, /* Comma before next object */
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TODO - ACCOUNTID:role/Workato_EKM"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt"
],
"Resource": "*"
}
]
}それ以外の場合、キーポリシーは次のようになります。
単一のStatementオブジェクトを含むキーポリシー
{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TODO - ACCOUNTID:role/Workato_EKM"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt"
],
"Resource": "*"
}
]
}Finishをクリックしてキーを作成します。
ステップ1.3: 自動ローテーションの有効化
自動ローテーションを有効にするには、次の手順を完了します。
注
自動キーローテーションを有効にすることはベストプラクティスですが、必須ではありません。
Customer managed keysページに移動します。
リストで作成したキーを見つけ、クリックして開きます。
Key rotationタブをクリックします。
Automatically rotate this KMS key every yearチェックボックスをオンにします。

保存をクリックします。
ステップ2: Workatoでのキーの追加
ステップ2.1: AWSでのキーARNの取得
Customer managed keysページに移動し、作成したキーをクリックして詳細ページを開きます。
キーの詳細ページで、General configurationセクションとARNフィールドを見つけます。

次のステップを完了するために必要なため、ARNをコピーします。
ステップ2.2: Workatoでのキーの設定
ワークスペース管理者 > Settingsタブに戻ります。
Key ARNフィールドにARNを貼り付けます。
Update keyをクリックします。
キー検証エラーのトラブルシューティング
Update keyをクリックした後にエラーが発生した場合は、次の点を確認します。
- AWS KMSのキーにキーポリシーを正しく追加していること。 キーポリシーが有効なJSONであり、
Statementプロパティに含まれていることを確認します。 - 正しいキーARNをWorkatoに貼り付けていること。 キーARNに余分なスペースや文字が含まれていないこと、および正しい値をWorkatoに貼り付けていることを確認します。
- AWS KMSでダウンタイムが発生していないこと。 キーポリシーとARNが正しいことを確認済みの場合は、KMSで発生している可能性のある障害についてAWS Health Dashboardを確認します。
Last updated: