###はじめに
ご無沙汰です。
AWSでサポートに問合せた結果、AWS側で修正対応することになりましたのでメモ残しておきます。
###事象について
CloudWatchLogsのKMS暗号化方法については公式ドキュメントにあります。
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html
公式ドキュメント通りステップ4まで実施して、結びつけたCMKを無効化すればログは見れないと思ってました。(復号化できないため)
だけどログ見えてるやん~~~てなってました。
###AWSサポートに問合せしてみた
【問合せ1】
ー中略ー
CloudWatch Logsのロググループに設定済みKMSキーを無効化しましたが、
CloudWatch Logs上でログに確認ができている状況です。
サポート側でも動作検証お願いします。
【回答1】
ー中略ー
CloudWatch Logsサービスの動作仕様として、結果整合性によりKMSキーを無効化してから、
その失効がロググループに適用されるまでに最大1時間かかる場合がある。
KMSキーの無効化から最大で1時間経過すると、当該キーで暗号化されたログイベントは表示されず、
また、そのKMSキーに関連付けられたロググループにログイベントを送信できなくなる。
1時間以上経過した後でも、引き続きログが取得できるようだったら教えてくれ!
###検証してみた
AWSサポートの回答通り、1時間待ってみる。
まだログ見えてるよ~~~
###もう一回AWSサポートに問合せしてみる
【問合せ2】
再度KMSキーを無効化し、1時間以上経過しましたが
CloudTrailのログがCloudWatch Logs上で確認できる状況です。
CloudWatchLogsのマネジメントコンソール上ではKMSキーを無効化した場合でも
ログは確認可能なのでしょうか?
###~~~~3ヶ月後~~~~
【回答2】
ロググループに関連づけていたKMSキーを無効化した後も、
1時間を超えてログ出力(PutLogEventアクション)の実行と
直近のログイベントの確認が可能である場合があることが確認できた。
前伝えたのは確認不足で間違っていた!すまなかった!
また、担当部署にて上記の説明に従った動作、
(KMSキーを無効化してから1時間以内に失効がロググループへ適用される動作)となるよう、現在修正に取り組んでいる。
しかしながらこちらの修正の成否や時期については現時点でお伝えすることが叶わないことご了承ください。
結果的に修正してもらえるようです。
###KMSキーを無効化したらログは見えないのか
結論なります。
ただ時間がかかります。(3時間くらい経ったら取得不可になりました)
ちなみにKMSキーを有効化したら即時反映されました。
以上です。読んでいただきありがとうございました。