Aurora PostgreSQL互換でアクティビティストリームを開始すると、監査ログが Kinesis Data Stream に書かれるが、アクティビティストリーム開始時に必ず KMS のカスタマー管理キーを指定しないといけないようになっている。Kinesis Data Stream のコンシューマーとして Kinesis Firehose を設定すると設定時に作成されるIAMロールにインラインポリシーが作成され、以下の箇所で KMS カスタマー管理キーに対するアクセス権が付与されている。
- アクティビティストリーム開始時の設定画面
- 作成された IAM ロール
- IAMロールのインラインポリシーの以下の箇所で KMS の権限が付与されている。
(略) { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:ap-northeast-1:123456789012:key/%SSE_KEY_ID%" ], "Condition": { "StringEquals": { "kms:ViaService": "kinesis.ap-northeast-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:kinesis:arn": "arn:aws:kinesis:ap-northeast-1:123456789012:stream/aws-rds-das-cluster-KGKB******************WQUI" } } } ] }