Amazon Key Management Service(KMS)のWorkato EKMへの接続

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

Amazon Key Management Service (KMS)をWorkato Enterprise Key Management(EKM)と併用すると、独自の暗号化キーをWorkatoに持ち込むことができます。 コンプライアンス要件およびセキュリティ要件を満たすだけでなく、AWS KMSで詳細なアクティビティログを表示し、いつどこでデータにアクセスできるかを把握できます。

このガイドでは、AWS KMSでキーを作成し、WorkatoでEKMを設定する方法について説明します。


前提条件

このガイドのタスクを実行するには、次が必要です。


ステップ1: キーの作成と設定

ステップ1.1: Workatoキーポリシーの取得

1

まだサインインしていない場合は、Workatoにサインインします。

2

ワークスペース管理者 > Settings > Encryption keysに移動します。

3

How do you want to encrypt your data?フィールドで、ドロップダウンからAWS KMS keyを選択します。

4

Step 1をクリックして、キーポリシーにアクセスします。

WorkatoのKey management設定ページのAWS Key policy

次のステップを完了するには、このページが必要です。

ステップ1.2: AWSでのキーの設定

AWSでキーを設定するには、次の手順を完了します。

このチュートリアルでは新しいキーの作成方法を説明していますが、既存のキーを使用することもできます。

1

AWS Management Consoleにサインインし、KMS consoleを開きます。

2

ナビゲーションペインで、Customer managed keysをクリックします。

3

Customer managed keysページで、Create keyをクリックします。

4

Step 1 - Configure keyページで:

1

次のフィールドを設定します。

  • Key type: Symmetricを選択します。 このキータイプの詳細については、AWS KMSのドキュメントを参照してください。
  • Advanced options > Key material origin: KMSを選択します。

AWS KMSのConfigure keyページ

2

次へをクリックします。

5

Step 2 - Add labelsページで:

1

Aliasフィールドに、キーの表示名を入力します。

2

必要に応じて他のフィールドを設定します。

3

次へをクリックします。

6

AWSで残りの手順を進め、必要に応じてフィールドを設定します。 Nextをクリックして次のページに進みます。

7

Step 5 - Reviewページに到達したら:

1

ステップ1.1のWorkatoワークスペース管理者設定タブに戻ります。

2

Permission to access keyフィールドの内容をコピーします。

3

AWSで、その内容をKey policyフィールドのデフォルトポリシーのStatementプロパティに貼り付けます。

Note: Statementプロパティに保持する必要があるオブジェクトが複数ある場合は、最後のオブジェクト以外のすべてのオブジェクトの後にカンマ(,)を追加します。

複数のStatementオブジェクトを含むキーポリシー
json
{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::TODO-ACCOUNTID:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },	 /* Comma before next object */
        {
	        "Sid": "Allow use of the key",
	        "Effect": "Allow",
	        "Principal": {
	            "AWS": "arn:aws:iam::TODO - ACCOUNTID:role/Workato_EKM"
	        },
	        "Action": [
	            "kms:Encrypt",
	            "kms:Decrypt"
	        ],
	        "Resource": "*"
	    }
    ]
}

それ以外の場合、キーポリシーは次のようになります。

単一のStatementオブジェクトを含むキーポリシー
json
{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
	    {
	        "Sid": "Allow use of the key",
	        "Effect": "Allow",
	        "Principal": {
	            "AWS": "arn:aws:iam::TODO - ACCOUNTID:role/Workato_EKM"
	        },
	        "Action": [
	            "kms:Encrypt",
	            "kms:Decrypt"
	        ],
	        "Resource": "*"
	    }
   ]
}
4

Finishをクリックしてキーを作成します。

ステップ1.3: 自動ローテーションの有効化

自動ローテーションを有効にするには、次の手順を完了します。

自動キーローテーションを有効にすることはベストプラクティスですが、必須ではありません。

1

Customer managed keysページに移動します。

2

リストで作成したキーを見つけ、クリックして開きます。

3

Key rotationタブをクリックします。

4

Automatically rotate this KMS key every yearチェックボックスをオンにします。

AWSのKey DetailsページにあるKey rotationタブと有効化チェックボックス

5

保存をクリックします。


ステップ2: Workatoでのキーの追加

ステップ2.1: AWSでのキーARNの取得

1

Customer managed keysページに移動し、作成したキーをクリックして詳細ページを開きます。

2

キーの詳細ページで、General configurationセクションとARNフィールドを見つけます。

AWSのキー詳細ページのGeneral Configurationセクションで強調表示されたARNフィールド

3

次のステップを完了するために必要なため、ARNをコピーします。

ステップ2.2: Workatoでのキーの設定

1

ワークスペース管理者 > Settingsタブに戻ります。

2

Key ARNフィールドにARNを貼り付けます。

3

Update keyをクリックします。


キー検証エラーのトラブルシューティング

Update keyをクリックした後にエラーが発生した場合は、次の点を確認します。

  • AWS KMSのキーにキーポリシーを正しく追加していること。 キーポリシーが有効なJSONであり、Statementプロパティに含まれていることを確認します。
  • 正しいキーARNをWorkatoに貼り付けていること。 キーARNに余分なスペースや文字が含まれていないこと、および正しい値をWorkatoに貼り付けていることを確認します。
  • AWS KMSでダウンタイムが発生していないこと。 キーポリシーとARNが正しいことを確認済みの場合は、KMSで発生している可能性のある障害についてAWS Health Dashboardを確認します。

Last updated: