CodeCommitリポジトリの復号化のCloudTrailログ確認
2021/11/17
ユーザーガイドAWS Key Management Service と AWS CodeCommit リポジトリの暗号化に記載がありますが、AWS CodeCommitリポジトリにソースコードを保存すると、AWS KMSのAWS所有キーaws/codecommitによって暗号化されて、git pullコマンドで復号化されるそうです。
ということで確認してみました。
目次
CloudTrailログ
git pullしたときであろうログを確認してみました。
invokedByがcodecommit.amazonaws.comでKMSのDecryptアクションが実行されていました。
aws:codecommit:idにリポジトリのIDがありました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
{ "eventVersion": "1.08", "userIdentity": { 〜中略〜 }, "invokedBy": "codecommit.amazonaws.com" }, "eventTime": "2021-11-17T12:02:33Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "codecommit.amazonaws.com", "userAgent": "codecommit.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:codecommit:env-alg": "AES/256", "aws:codecommit:sig-alg": "HmacSHA256/256", "aws:codecommit:id": "xxxxx-xxxxxx-xxxxxx" } }, ~中略~ }, |
CodeCommitリポジトリIDの確認
リポジトリIDはget-repositoryコマンドで確認しました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
$ aws codecommit get-repository --repository-name RepositoryName { "repositoryMetadata": { "creationDate": 1628481144.858, "defaultBranch": "master", "repositoryName": "RepositoryName", "cloneUrlSsh": "ssh://git-codecommit.us-east-1.amazonaws.com/v1/repos/RepositoryName", "lastModifiedDate": 1637150992.85, "repositoryDescription": "sample repository", "cloneUrlHttp": "https://git-codecommit.us-east-1.amazonaws.com/v1/repos/RepositoryName", "repositoryId": "xxxxx-xxxxxx-xxxxxx", "Arn": "arn:aws:codecommit:us-east-1:123456789012:RepositoryName", "accountId": "123456789012" } } |
Athena検索時のSQLメモ
該当のCloudTrailログは、Athenaで検索して確認しました。
Athenaテーブルは、S3オブジェクトへのリクエストをCloudTrail, Athenaで識別する(パーティショニング)の方法で作成しています。
1 2 3 4 5 6 7 8 9 10 |
select * from "cloudtrail_events_db"."cloudtrail_partiion_table" where account='123456789012' and region='us-east-1' and year='2021' and month='11' and day='17' and eventsource='kms.amazonaws.com' and sourceipaddress='codecommit.amazonaws.com' and requestparameters like '%xxxxx-xxxxxx-xxxxxx%' |
KMS aws/codecommitのキーポリシー
対象のアカウントからのアクセスを許可するポリシーが設定されていました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
{ "Version": "2012-10-17", "Id": "auto-codecommit-2", "Statement": [ { "Sid": "Allow access through CodeCommit for all principals in the account that are authorized to use CodeCommit", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "123456789012", "kms:ViaService": "codecommit.us-east-1.amazonaws.com" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] } |
最後までお読みいただきましてありがとうございました!
【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。
【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。
【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。
【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
クロスリージョンでEFSをマウントしてみる
ニーズがあるかどうかはさておき、クロスリージョンでのEFSファイルシステムをマウ …
-
-
EC2インスタンスWindowsでセッションマネージャーを使う
WindowsのEC2インスタンスでセッションマネージャーを使ってみたことがない …
-
-
Lucidchart AWSアカウントからインポート機能で自動作図
SNSでLucidchartというサービスが話題になってました。 AWSの環境を …
-
-
AWS Lambda(Python3.7)でPandocを実行する際にCSSもLayerから読み込む
Pandocで必要そうなオプションを確認しておく 先日の「AWS Lambda( …
-
-
RDSスナップショットのS3エクスポート結果確認
RDSのスナップショットをS3へエクスポートが日本語マネジメントコンソールでもで …
-
-
ヤマムギ vol.7 AWSアカウント作成 & 最初の設定ハンズオン 手順
ヤマムギとは from Mitsuhiro Yamashita 「AWSではじめ …
-
-
ヤマムギvol.27 Amazon Route 53プライベートホストゾーンとリゾルバーのデモをしました
今日は『AWS認定資格試験テキスト&問題集AWS認定ソリューションアーキ …
-
-
AWS Backupで取得したAMIとスナップショットの削除
個人で使っているAWSリソースの断捨離をしてました。 Cloud9も複数アカウン …
-
-
Amazon Connectのパスワードどころかユーザー名も忘れたのでEmergency accessした
長い間放置していたAmazon Connect環境にアクセスしようとしたところ、 …
-
-
AWS Transit GatewayのVPN接続
上記のような構成で、オンプレミス側は東京リージョンのVPCでVyOSを起動して接 …