はじめに
業務でALBのCloudFormationテンプレートを作成していたのですが、S3バケットへのアクセス拒否が原因で作成失敗するエラーに見舞われました。
バケットポリシーなど色々と調査しましたが、原因がわからず半日沼にはまりました。
結論
そんな書くこともなかったので結論です。
タイトルにもありますがKMS暗号化されたバケットにALBアクセスログを格納することはできません。
私がALBアクセスログの格納先に指定していたS3バケットはKMS暗号化されているバケットだったため、それが原因で作成失敗していました。
公式リファレンスでもしっかり「サポートされているサーバー側暗号化オプションは、Amazon S3 マネージドキー(SSE-S3)のみです。」と記載されています。
知っていれば半日も沼りません。
ちなみに
以下の記事でALBアクセスログを有効にしてからS3の暗号化設定をKMSに変更した検証を行っているみたいですが、ALBアクセスログに関しては結局KMS暗号化が適用されることはないみたいです。
参考
・公式
・S3暗号化について