Prisma Cloud での AWS クラウドオンボーディング中に S3 構成のバケットパスを検証しているときに、「暗号文は存在しない、このリージョンに存在しない、またはアクセスが許可されていないカスタマーマスター キーを参照しています」というエラーが発生する
939
Created On 07/02/23 02:17 AM - Last Modified 01/03/25 06:14 AM
Symptom
- Prisma Cloud での AWS クラウドオンボーディング中に S3 構成のバケットパスを検証中に次のエラーが発生する
Environment
- Prisma Cloud エンタープライズエディション
- アマゾン
Cause
- バケット パスに記載されているフォルダーで異なる KMS キーが使用されており、1 つ以上のフォルダーに Loggingロールがアクセスする権限がありません。
- S3 バケット「bucket-XYZ」内にVPC-A の Folder1 が作成されました。バケットには SSE-KMS キー「Key-1」が割り当てられ、Folder1 には「Key-2」が割り当てられます。
- Prisma Cloud によって使用されるログ記録ロールにキーにアクセスする権限がないか、ログ記録ロールがAWS KMS の「キーユーザー」として追加されていない場合 (いずれかの権限があれば十分)、このエラーが発生する可能性があります。
Resolution
- すべてのKMSキー(パスのフォルダで使用される)にログロールが追加されていることを確認します。
または
- Prisma Cloud 用に AWS で構成されたログ記録ロールテンプレートには、'Decrypt' 権限用として記載されているすべてのキー (, で区切られている) が含まれます。フォルダーの暗号化に使用されるキーが見つからない場合は、'Resource' で * を使用してテストできます。
上記の解決策でエラーが解決しない場合は、 Palo Alto Networksテクニカルサポートにお問い合わせください。