ALBアクセスログ有効化はS3暗号化 (SSE-KMS)に注意

概要

今回、S3 バケットのデータ格納時にサーバー側の暗号化を有効にする要件がありました。ALBアクセスログを有効化する際にハマったため、注意事項を紹介します。
S3 の暗号化タイプには、「Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3)」がデフォルトですが、AWS KMS (Key Management Service)のカスタマーマネージドキーを作成し、「AWSS Key Management Service キーを使用したサーバー側の暗号化」を選択することができます。カスタマーマネージドキーを使用する場合、ユーザーがキーを管理でき、自動キーローテーションのカスタマイズも可能になります。

ALBアクセスログ有効化はS3暗号化に注意する

今回、S3 バケットの暗号化タイプには、以下の通り、「AWS Key Management Service キーを使用したサーバー側の暗号化 (SSE-KMS)」を使用しておりました。

上記環境において、ALB のアクセスログを有効化とし、S3 URI にカスタマーマネージドキーで暗号化されたS3 バケットを選択したところ、以下のエラーとなりました。
- Access Denied for bucket: バケット名. Please check S3bucket permission

ALB のアクセスログには、AWS マネージドキーで暗号化されたS3 バケットを選択する必要があります。
S3 バケットの暗号化タイプを変更後は、ALB のアクセスログを有効化することができました。

この記事を書いた人

新川貴章

2018年入社、エンタープライズクラウド事業部　名古屋構築第二セクション　第二グループにてグループリーダーをさせていただいております。
インフラエンジニアとして、自動車メーカー様関連のお客様を中心にAWS/Azure を使ったインフラの設計、構築、運用を担当しております。
電機メーカーから転職。2015年に東京から三重県に移住、娘三人の父。毎日猫と同じ部屋で在宅ワーク中。
2022年度 iret スペシャリスト、技術評論社 WEB+DB PRESS Vol.122 に寄稿。新川貴章が書いた記事

ALBアクセスログ有効化はS3暗号化 (SSE-KMS)に注意

概要

ALBアクセスログ有効化はS3暗号化に注意する

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

Python で Cloud Storage の JSON ファイルを読み込む

AWSの生成AI活用事例集GenUを使い倒す

WindowsServer上に作成したローカルユーザーのパスワード有効期限管理パターンとその適用手順をまとめてみる

Oracle のロックされているテーブルのセッションを知りたい [cloudpack OSAKA blog]

ALBアクセスログ有効化はS3暗号化 (SSE-KMS)に注意

概要

ALBアクセスログ有効化はS3暗号化に注意する

関連記事Related Articles

AWS CLIにてALBにセキュリティグループを設定する際の仕様について

[技術検証]ALBのアイドルタイムアウトの設定値を変更した際の反映タイミングの検証

ALBのデフォルト証明書更新後にSNIに残る古い証明書は削除するべきなのか

ALBのリスナールールをCLIで変更してみた

Go で AWS のアクセスログを解析するツールを作った