Q&A
S3のほうでバケットのデフォルト暗号化を設定していませんか?
詰まっていること
RDS→S3⇨apflowのようなRDSに保存されているテーブルデータをcsvファイルでS3に吐き出して、appflowに渡すということがしたいのですが、RDSからS3にcsvファイルを吐き出すとKMSキー (SSE-KMS)が自動でかけられます。
appflowにKMSキー複号化のロールを付与すればいけると思うのですが、具体的にどれなのか分からず詰まっています。
試したこと
csvファイルのKMSキーを手動で解除したところappflowに渡せることは確認できています。
ご教授お願いいたします。
追記
対象のバケットのプロパティからです。
それから
×複合化
○復号
です
S3のデフォルトの暗号化は無効になっています。
しかしファイルにかかっているKMSはデフォルトのKMS(S3)みたいです。
Default key that protects my S3 objects when no other key is definedと説明に書いてあるので、どのKMSもかかっていないので勝手にS3のKMSがかかっているのでしょうか?
漢字間違えてますね。。修正しました!
いや、本当に無効になっていますか?
自己申告ではなくバケットの該当項目のスクリーンショットを上げてください。
その説明はどこに書いてあったんでしょうか?
また、S3へのアップロードはどのように行っていますか?
バケット側でデフォルト暗号化するか、S3アップロードする時に暗号化するかしなければ暗号化はされないはずです。
また、いずれにしても暗号化されたオブジェクトの情報を見ればどのキーで暗号化されているのかわかるので、そのキーを利用してkms:Decryptの権限を設定すればとりあえず問題は解決しそうです。
画像追加しました。
バケットのプロパティからの参照です。
AWS マネージド型キーがRDSからS3にCSVファイルとして出力したところ、かかっているみたいです。
kms:Decryptの権限についてですが、appflowにAWS マネージド型キーのkms:Decryptを付与するということでしょうか?
> RDSからS3にCSVファイルとして出力したところ
ここの具体的な処理と設定を記載してください。
デフォルト暗号化していないのであればここのどこかで暗号化する設定にして保存しているのでしょう。
暗号化されたオブジェクトを取得する際の権限はこちらを参照してください。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/decrypt-kms-encrypted-objects-s3/
RDSに入って、aws_s3.query_export_to_s3を使ってs3にエクスポートしています。
> デフォルト暗号化していないのであればここのどこかで暗号化する設定にして保存しているのでしょう。
おっしゃる通りだとは思うのですが、かかっているKMSがs3のデフォルトのものなので見当がつきません。。
URLの共有ありがとうございます!
試しに暗号化されているオブジェクトの暗号化設定のスクリーンショットを貼ってもらってもいいでしょうか。
また、何によって暗号化されているかがちょっとわからないので、CloudTrailで調査しても良いと思います。
画像の追記をしました。
ご丁寧にありがとうございます。
> 漢字間違えてますね。。修正しました!
直っていないので指摘しておきます。
1: 「ふくごう化」でなく、「ふくごう」
2: 「複」でなく、「復」
(済: 「合」でなく、「号」)
あなたの回答
tips
プレビュー
