Amazon Macie の機密情報サンプル取得で指定する KMS キーの要件を教えてください

困っていた内容

Amazon Macie で検出結果から機密情報のサンプル取得がしたいです。
事前の設定で KMS キーを選択しますが、対称タイプであれば AWS マネージド型キーでも問題ありませんか。
問題ない場合、エイリアス：aws/s3のキーで良いですか。

どう対応すればいいの?

カスタマー管理型の対称暗号化キーが必要です。

機密データサンプルを取得するように Macie を設定する - Amazon Macie

KMS キーは、カスタマーマネージドキーで、対称暗号化キーである必要があります。

Amazon Macie の機密情報サンプル取得では、カスタマー管理型の対称暗号化キーが必要です。カスタマー管理型は「新しいキーを作成」のリンクから作成することができ、設定するキーポリシー例も「ポリシーを表示」から確認できます。

なお、指定する KMS キーの要件をまとめると次となります。

• カスタマー管理型キー（カスタマーマネージドキー）
• キーのタイプ：対称
• 単一リージョンキー

KMS キーは Amazon Macie と同一リージョンである必要がありますが、クロスアカウント（別のアカウントのキー）はサポートされます。

また、2025年5月時点の挙動として、AWS マネージド型キーの設定もできますが、実際にサンプル取得を行ったタイミングで、次のようなアクセス権限のエラーが発生し、サンプル取得に失敗しました。

エラー
getSensitiveDataOccurrences: You don't have access to the specified KMS key or the specified key doesn't exist. Specify a KMS key that you're allowed to use.

参考資料

• 機密データサンプルを取得するように Macie を設定する - Amazon Macie

検出結果の機密データのサンプルを取得して公開すると、Macie は指定した AWS Key Management Service （AWS KMS) キーでサンプルを暗号化します。そのため、サンプルを暗号化するために使用する AWS KMS key を決定する必要があります。キーは、自分のアカウントの既存の KMS キーでも、別のアカウントが所有する既存の KMS キーでもかまいません。別のアカウントが所有するキーを使用する場合、キーの Amazon リソースネーム (ARN) を取得します。Macie で設定設定を入力するときに、この ARN を指定する必要があります。

KMS キーは、カスタマーマネージドキーで、対称暗号化キーである必要があります。また、Macie アカウント AWS リージョン と同じ で有効になっている単一リージョンキーである必要があります。KMS キーは、外部キーストアに格納できます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。レイテンシーまたは可用性の問題により、取得して公開したい機密データサンプルを Macie が暗号化できない場合、エラーが発生し、Macie は検出結果のサンプルを返しません。

• よくある質問 - Amazon Macie | AWS

Macie はリージョンレベルのサービスですか? それともグローバルサービスですか?

Macie はリージョンレベルのサービスです。