AWS アカウントを設定して IAM ロールを作成する

Jira Software の BYOK 暗号化は、Enterprise 計画のすべてのお客様が利用できます。

Jira Service Management と Confluence 向けの BYOK 暗号化機能は、アーリー アクセス プログラム (EAP) を通じて、Enterprise プランをご利用の多くのカスタマーにご利用いただけます。EAP への参加にご興味がある場合は、Enterprise アカウント担当者にご連絡ください。

AWS アカウントを設定する

アトラシアン製品の BYOK 暗号化を管理するための AWS アカウントを作成します。この AWS アカウントは、Atlassian Cloud 製品の暗号化キーを管理する目的でのみご利用ください。AWS アカウントを作成して有効化する方法をご確認ください。

AWS アカウントに関するサポートが必要な場合は、 AWS サポートにご連絡ください

AWS アカウントを作成する際に、AWS と個別の契約関係を結ぶことになりますが、これはアトラシアンの管理対象外です。つまり、AWS キー ストレージの設定に関連する費用 (運用コストを含む) も、お客様の負担となります。AWS キー ストレージの価格について詳細をご確認ください

AWS ID とアクセス管理 (IAM) ロールを作成する

AWS ID とアクセス管理 (IAM) ロールを設定して、アトラシアンが組織の AWS アカウントの暗号化キーを AWS KMS 経由で管理するために必要な権限を付与します。

IAM ロールを作成するには、次の手順に従います。

  1. https://aws.amazon.com/ に移動して、自分のアカウントにサインインします。

  2. [IAM ユーザー] オプション (管理者レベル権限で) または [ルート ユーザー] オプションを選択し、認証情報を入力します。

  3. ダッシュボードで「CloudFormation」と検索します。

  4. 検索結果から、「CloudFormation」にカーソルを合わせて、主な機能のリストから [Stacks (スタック)] を選択するか、[CloudFormation] を選択してからサイド メニューから [Stacks (スタック)] を選択します。

  5. [Stacks (スタック)] ページで、右隅の [Create stack (スタックの作成)] ドロップダウン メニューを選択し、[with new resources (standard) (新しいリソースを使用 (標準))] を選択します。

  6. S3 URL を「https://byok-atlassian.s3.amazonaws.com/atlassian-key-management-template.json」と指定して、[ 次へ] を選択します。

  7. [Stack name (スタック名)] の下に「atlassian-key-management-role」と入力します。パラメータには、AtlassianKeyManagementAccount があらかじめ 709587835243 という値で入力されています。これを変更する必要はありません。[次へ] を選択します。

  8. [Stack failure options (スタック障害オプション)] セクションで、[Roll back all stack resources (すべてのスタック リソースをロールバックする)] を選択して、[次へ] を選択します。

  9. すべてのエントリをもう一度確認し、情報パネルで承認の宣言を選択して、[Submit (送信)] を選択します。

[Submit (送信)] をクリックすると、Stack [atlassian-key-management-role] already exists と通知されることがあります。このような場合は、何もせずにページを閉じてください。

完了すると、スタックのステータスが CREATE_IN_PROGRESS から CREATE_COMPLETE に変わります。これで、IAM ロールが設定されました。これを確認するには、ダッシュボードで IAM を検索し、[ロール] を選択して atlassian-key-management になっていることをご確認ください。 

  • 完了したら、スタックは削除しないでください。スタックを削除すると、atlassian-key-management role も削除されます。

  • このセットアップ後に AWS アカウントの設定を変更すると、製品が期待どおりに動作しなくなる可能性があります。

通知を受け取ったら IAM ロールをリセット

AWS KMS 設定でエラーを検出した場合は、「Misconfiguration detected for AWS account」というタイトルのサポート チケットで通知します。設定エラーは製品の機能に問題を引き起こす可能性があるため、IAM ロールをリセットすることをお勧めします。

IAM ロールをリセットするには、次の手順を実行します。

  1. https://aws.amazon.com/ に移動して、自分のアカウントにサインインします。

  2. [IAM ユーザー] オプション (管理者レベル権限で) または [ルート ユーザー] オプションを選択し、認証情報を入力します。

  3. [CloudFormation] > [Stacks (スタック)] > [atlassian-key-management-role] の順に移動し、[更新] を選択します。

  4. [Replace current template (現在のテンプレートに置換)] を選択します。

  5. S3 URL を「https://byok-atlassian.s3.amazonaws.com/atlassian-key-management-template.json」と指定して、[次へ] を選択します。

  6. パラメーターでは、AtlassianKeyManagementAccount があらかじめ 709587835243 という値で入力されています。これを変更する必要はありません。[次へ] を選択します。

  7. [Stack failure options (スタック障害オプション)] セクションはそのままにして、[次へ] を選択します。

  8. [送信] を選択して、変更を適用します。

この設定に関してサポートが必要な場合は、お送りしたサポート チケットに返信してください。

セキュリティに関する考慮事項

BYOK 用に専用の AWS アカウントを設定することに加えて、アカウントには二要素認証 (2FA) を利用する必要があります。これは、意図しない機能的またはセキュリティ関連の問題が発生するリスクを軽減し、アクセスを適切に制限するためです。

アトラシアンの KMS キー管理へのアクセスは、関連する操作のみを実行するように制限されていますが、AWS アカウント自体へのアクセスが安全に保護されていることを確認することも重要です。BYOK AWS アカウントへのアクセスを管理するための AWS のセキュリティ ガイドラインに従ってください。

次のステップ

AWS アカウントをセットアップして IAM ロールを作成したら、アトラシアン製品の BYOK 暗号化をセットアップできます。

その他のヘルプ