Security Hub の CIS v1.2.0 – CIS.2.7 で検知された CodePipeline の CloudTrail 証跡に存在するプレースホルダーバケットに対して、 KMS で暗号化を設定することは可能でしょうか。
この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021のカレンダー | Advent Calendar 2021 - Qiita 6日目の記事です。
困っていた内容
Code Pipeline の CloudTrail に作成されたプレースホルダバケットが SSE-KMS 暗号化されていないため、
Security Hub の CIS AWS Foundations Benchmark v1.2.0 - CIS.2.7 が検知されました。
プレースホルダバケットを SSE-KMS の暗号化を設定することは可能でしょうか。
どう対応すればいいの?
Code Pipeline の CloudTrail で使用するプレースホルダーの S3バケットは AWS より作成されており、AWS で管理をしているため、
利用者より設定の変更をすることはできません。
そのため、SSE-KMS で暗号化を設定することはできません。
Security Hub の CIS AWS Foundations Benchmark v1.2.0 - CIS.2.7 の検知結果に対して、対応をするためには、
SSE-KMS 暗号化の設定ができるように、証跡ログの場所(S3 バケット)を 利用者が保持するS3 バケットに変更いただき、SSE-KMS 暗号化を設定する必要がございます。
また、Security Hub の検知結果に対して、ワークフローステータスを「抑制済み」する方法も可能です。
