使用启用和禁用 CloudTrail 日志文件加密 Amazon CLI - Amazon CloudTrail
使用启用 CloudTrail 日志文件加密 Amazon CLI使用禁用 CloudTrail 日志文件加密 Amazon CLI
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用启用和禁用 CloudTrail 日志文件加密 Amazon CLI

本主题介绍如何使用启用和禁用 SSE-KMS 日志文件加密。 CloudTrail Amazon CLI有关背景信息,请参阅使用密 Amazon KMS 钥加密 CloudTrail 日志文件 (SSE-KMS)

使用启用 CloudTrail 日志文件加密 Amazon CLI

为跟踪启用日志文件加密

  1. 使用 Amazon CLI创建密钥。您创建的密钥必须与接收您的 CloudTrail 日志文件的 S3 存储桶位于同一区域。在此步骤中,您可以使用 Amazon KMS create-key命令。

  2. 获取现有的密钥策略,以便您可以对其进行修改以供使用 CloudTrail。您可以使用 Amazon KMS get-key-policy命令检索密钥策略。

  3. 在密钥策略中添加必填部分,以便 CloudTrail 可以加密和用户可以解密您的日志文件。确保为需要阅读日志文件的所有用户授予解密权限。请勿更改策略的现有部分。有关要包含的策略部分的信息,请参阅 为以下各项配置 Amazon KMS 密钥策略 CloudTrail

  4. 使用 Amazon KMS put-key-policy命令将修改后的 JSON 策略文件附加到密钥。

  5. 使用--kms-key-id参数运行 CloudTrail create-trailupdate-trail命令。此命令将启用日志加密。

    aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

    --kms-key-id参数指定您修改其策略的密钥 CloudTrail。它可以是以下格式中的任意一种:

    • 别名。例如:alias/MyAliasName

    • 别名 ARN。例如:arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • 密钥 ARN。例如:arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID。例如:12345678-1234-1234-1234-123456789012

    以下为响应示例:

    {
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

    如果存在 KmsKeyId 元素,则表示已启用日志文件加密功能。加密的日志文件应在 5 分钟左右出现在您的存储桶中。

为事件数据存储启用日志文件加密

  1. 使用 Amazon CLI创建密钥。您创建的密钥必须与事件数据存储位于同一区域。对于此步骤,请运行 Amazon KMS create-key命令。

  2. 获取要编辑的现有密钥策略以供使用 CloudTrail。您可以通过运行 Amazon KMS get-key-policy命令来获取密钥策略。

  3. 在密钥策略中添加必填部分,以便 CloudTrail 可以加密和用户可以解密您的日志文件。确保为需要阅读日志文件的所有用户授予解密权限。请勿更改策略的现有部分。有关要包含的策略部分的信息,请参阅 为以下各项配置 Amazon KMS 密钥策略 CloudTrail

  4. 通过运行 Amazon KMS put-key-policy命令将编辑后的 JSON 策略文件附加到密钥。

  5. 运行 CloudTrail create-event-data-storeupdate-event-data-store命令,然后添加--kms-key-id参数。此命令将启用日志加密。

    aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey

    --kms-key-id参数指定您修改其策略的密钥 CloudTrail。它可以是以下四种格式中的任意一种:

    • 别名。例如:alias/MyAliasName

    • 别名 ARN。例如:arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • 密钥 ARN。例如:arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID。例如:12345678-1234-1234-1234-123456789012

    以下为响应示例:

    {
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}

    如果存在 KmsKeyId 元素,则表示已启用日志文件加密功能。加密的日志文件应在 5 分钟左右出现在您的事件数据存储中。

使用禁用 CloudTrail 日志文件加密 Amazon CLI

要停止加密针对跟踪的日志,请运行 update-trail,并向 kms-key-id 参数传递一个空字符串:

aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

以下为响应示例:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

如果不存在 KmsKeyId 值,则表示已停用日志文件加密功能。

重要

您无法停止针对事件数据存储的日志文件加密。