使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密

本主题介绍如何使用 Amazon CLI 启用和禁用 CloudTrail SSE-KMS 日志文件加密。有关背景信息,请参阅通过 Amazon KMS 密钥 (SSE-KMS) 加密 CloudTrail 日志文件

使用 Amazon CLI 启用 CloudTrail 日志文件加密

为跟踪启用日志文件加密
  1. 使用 Amazon CLI 创建密钥。您创建的密钥必须与接收 CloudTrail 日志文件的 S3 存储桶位于同一个区域。对于此步骤,您将使用 Amazon KMS create-key 命令。

  2. 获取现有密钥策略,以便您能够修改它以使其适用于 CloudTrail。您可以使用 Amazon KMS get-key-policy 命令检索密钥策略。

  3. 向密钥策略添加所需部分,以便 CloudTrail 能够加密而且用户能够解密您的日志文件。确保为需要阅读日志文件的所有用户授予解密权限。请勿更改策略的现有部分。有关要包含的策略部分的信息,请参阅 为 CloudTrail 配置 Amazon KMS 密钥策略

  4. 使用 Amazon KMS put-key-policy 命令将修改后的 JSON 策略文件附加到密钥。

  5. 运行 CloudTrail create-trailupdate-trail 命令并指定 --kms-key-id 参数。此命令将启用日志加密。

    aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

    --kms-key-id 参数用于指定密钥(您将针对 CloudTrail 修改此密钥的策略)。它可以是以下格式中的任意一种:

    • 别名。示例:alias/MyAliasName

    • 别名 ARN。示例:arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • 密钥 ARN。示例:arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID。示例:12345678-1234-1234-1234-123456789012

    以下为响应示例:

    { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "my-bucket-name" }

    如果存在 KmsKeyId 元素,则表示已启用日志文件加密功能。加密的日志文件应在约 15 分钟内出现在您的桶中。

为事件数据存储启用日志文件加密
  1. 使用 Amazon CLI 创建密钥。您创建的密钥必须与事件数据存储位于同一区域。对于此步骤,请运行 Amazon KMS create-key 命令。

  2. 获取现有密钥策略,以对其进行编辑,以便与 CloudTrail 配合使用。您可以通过运行 Amazon KMS get-key-policy 命令来获取密钥策略。

  3. 向密钥策略添加所需部分,以便 CloudTrail 能够加密而且用户能够解密您的日志文件。确保为需要阅读日志文件的所有用户授予解密权限。请勿更改策略的现有部分。有关要包含的策略部分的信息,请参阅 为 CloudTrail 配置 Amazon KMS 密钥策略

  4. 运行 Amazon KMS put-key-policy 命令将编辑后的 JSON 策略文件附加到密钥。

  5. 运行 CloudTrail create-event-data-storeupdate-event-data-store 命令,并添加 --kms-key-id 参数。此命令将启用日志加密。

    aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey

    --kms-key-id 参数用于指定密钥(您将针对 CloudTrail 修改此密钥的策略)。它可以是以下四种格式中的任意一种:

    • 别名。示例:alias/MyAliasName

    • 别名 ARN。示例:arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • 密钥 ARN。示例:arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID。示例:12345678-1234-1234-1234-123456789012

    以下为响应示例:

    { "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }

    如果存在 KmsKeyId 元素,则表示已启用日志文件加密功能。加密的日志文件应在约 15 分钟内出现在您的事件数据存储中。

使用 Amazon CLI 禁用 CloudTrail 日志文件加密

要停止加密针对跟踪的日志,请运行 update-trail,并向 kms-key-id 参数传递一个空字符串:

aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

以下为响应示例:

{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "my-bucket-name" }
重要

您无法停止针对事件数据存储的日志文件加密。