CodeCommitリポジトリの復号化のCloudTrailログ確認
2021/11/17
ユーザーガイドAWS Key Management Service と AWS CodeCommit リポジトリの暗号化に記載がありますが、AWS CodeCommitリポジトリにソースコードを保存すると、AWS KMSのAWS所有キーaws/codecommitによって暗号化されて、git pullコマンドで復号化されるそうです。
ということで確認してみました。
目次
CloudTrailログ
git pullしたときであろうログを確認してみました。
invokedByがcodecommit.amazonaws.comでKMSのDecryptアクションが実行されていました。
aws:codecommit:idにリポジトリのIDがありました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
{ "eventVersion": "1.08", "userIdentity": { 〜中略〜 }, "invokedBy": "codecommit.amazonaws.com" }, "eventTime": "2021-11-17T12:02:33Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "codecommit.amazonaws.com", "userAgent": "codecommit.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:codecommit:env-alg": "AES/256", "aws:codecommit:sig-alg": "HmacSHA256/256", "aws:codecommit:id": "xxxxx-xxxxxx-xxxxxx" } }, ~中略~ }, |
CodeCommitリポジトリIDの確認
リポジトリIDはget-repositoryコマンドで確認しました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
$ aws codecommit get-repository --repository-name RepositoryName { "repositoryMetadata": { "creationDate": 1628481144.858, "defaultBranch": "master", "repositoryName": "RepositoryName", "cloneUrlSsh": "ssh://git-codecommit.us-east-1.amazonaws.com/v1/repos/RepositoryName", "lastModifiedDate": 1637150992.85, "repositoryDescription": "sample repository", "cloneUrlHttp": "https://git-codecommit.us-east-1.amazonaws.com/v1/repos/RepositoryName", "repositoryId": "xxxxx-xxxxxx-xxxxxx", "Arn": "arn:aws:codecommit:us-east-1:123456789012:RepositoryName", "accountId": "123456789012" } } |
Athena検索時のSQLメモ
該当のCloudTrailログは、Athenaで検索して確認しました。
Athenaテーブルは、S3オブジェクトへのリクエストをCloudTrail, Athenaで識別する(パーティショニング)の方法で作成しています。
1 2 3 4 5 6 7 8 9 10 |
select * from "cloudtrail_events_db"."cloudtrail_partiion_table" where account='123456789012' and region='us-east-1' and year='2021' and month='11' and day='17' and eventsource='kms.amazonaws.com' and sourceipaddress='codecommit.amazonaws.com' and requestparameters like '%xxxxx-xxxxxx-xxxxxx%' |
KMS aws/codecommitのキーポリシー
対象のアカウントからのアクセスを許可するポリシーが設定されていました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
{ "Version": "2012-10-17", "Id": "auto-codecommit-2", "Statement": [ { "Sid": "Allow access through CodeCommit for all principals in the account that are authorized to use CodeCommit", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "123456789012", "kms:ViaService": "codecommit.us-east-1.amazonaws.com" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] } |
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
AWS DataLake 構築ハンズオンに行ってきました
AWSJ大阪が増床されて2019年10月限定でAWS pop-up loftとい …
-
プライベートサブネットのEC2でセッションマネージャを使うようVPCエンドポイントを構成する
インターネットゲートウェイへのルートがないルートテーブルに関連付けられたプライベ …
-
GoogleForm,GASからAPI Gateway, Lambdaで入力情報をDynamoDBに格納する
vol.26 AWS認定試験テキスト認定クラウドプラクティショナーのデモ(Dyn …
-
AWS Systems Managerパラメータストアで「Parameter name must be a fully qualified name.」
パラメータストアでパラメータ階層を作成しようとして、パラメータ名に例えば「wor …
-
kintone webhookからAWS API Gateway – Lambdaを実行しレコードの値を渡す
2017年2月のアップデートでkintoneにWebhook機能がリリースされま …
-
AWS APIリクエストにPostmanで署名を作成する
新年明けましておめでとうございます! 署名バージョン4 「AWSはマネジメントコ …
-
AWSアカウントでルートユーザーが使用されたときにTeamsへ投稿する
Organizations組織内のアカウントのいずれかでルートユーザーが使用され …
-
Amazon API Gatewayでモックを作る
超シンプルなAPI Gatewayのサンプルがほしかったので、ユーザーガイドの手 …
-
Selenium, Headless ChromeとAWS Lambdaで夜な夜なスクレイピング
このようなアーキテクチャで、Alexaスキルの開発を進めていまして、元となる情報 …
-
ALBのヘルスチェックでPHPとMySQL接続をチェック
当ブログで504エラーが発生して、オートスケーリングにより自動でインスタンスが置 …