Security Hub の CIS v1.2.0 – CIS.2.7 で検知された CodePipeline の CloudTrail 証跡に存在するプレースホルダーバケットに対して、 KMS で暗号化を設定することは可能でしょうか。

この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021のカレンダー | Advent Calendar 2021 - Qiita 6日目の記事です。

困っていた内容

Code Pipeline の CloudTrail に作成されたプレースホルダバケットが SSE-KMS 暗号化されていないため、 Security Hub の CIS AWS Foundations Benchmark v1.2.0 - CIS.2.7 が検知されました。
プレースホルダバケットを SSE-KMS の暗号化を設定することは可能でしょうか。

どう対応すればいいの?

Code Pipeline の CloudTrail で使用するプレースホルダーの S3バケットは AWS より作成されており、AWS で管理をしているため、 利用者より設定の変更をすることはできません。
そのため、SSE-KMS で暗号化を設定することはできません。

Security Hub の CIS AWS Foundations Benchmark v1.2.0 - CIS.2.7 の検知結果に対して、対応をするためには、 SSE-KMS 暗号化の設定ができるように、証跡ログの場所(S3 バケット)を 利用者が保持するS3 バケットに変更いただき、SSE-KMS 暗号化を設定する必要がございます。
また、Security Hub の検知結果に対して、ワークフローステータスを「抑制済み」する方法も可能です。

参考情報