暗号化の有効化
以下の設定のこと。
発生した事象その1
上記の暗号化を有効にしたまま、CloudWatch→SNS を実施したが通知されなかった。
対処方法
以下の SNS トピックの暗号化が原因で、トリガーアクションが失敗している場合: にある通り、 alias/aws/sns を
使用するのではなく、 カスタマーマネージドキー を使用すべきだった。
その際、以下のキーポリシーを設定する。
{
"Sid": "Allow_CloudWatch_for_CMK",
"Effect": "Allow",
"Principal": {
"Service":[
"cloudwatch.amazonaws.com"
]
},
"Action": [
"kms:Decrypt","kms:GenerateDataKey*"
],
"Resource": "*"
}
発生した事象その2
以下にあるように GuardDuty→EventBridge→SNSと連携させた。
しかし、SNS で通知されない。
対処方法
以下の SNS トピックが暗号化されている場合は、KMS キーポリシーに以下のセクションを含める必要があります。 が必要だった。
{
"Sid": "Allow CWE to use the key",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}