使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密 - Amazon CloudTrail
使用 Amazon CLI 启用 CloudTrail 日志文件加密使用 Amazon CLI 禁用 CloudTrail 日志文件加密
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密

本主题介绍如何使用 Amazon CLI 启用和禁用 CloudTrail SSE-KMS 日志文件加密。有关背景信息,请参阅使用密 Amazon KMS 钥加密 CloudTrail 日志文件 (SSE-KMS)

使用 Amazon CLI 启用 CloudTrail 日志文件加密

为跟踪启用日志文件加密

  1. 使用 Amazon CLI 创建密钥。您创建的密钥必须与接收 CloudTrail 日志文件的 S3 存储桶位于同一个区域。对于此步骤,您将使用 Amazon KMS create-key 命令。

  2. 获取现有密钥策略,以便您能够修改它以使其适用于 CloudTrail。您可以使用 Amazon KMS get-key-policy 命令检索密钥策略。

  3. 向密钥策略添加所需部分,以便 CloudTrail 能够加密而且用户能够解密您的日志文件。确保为需要阅读日志文件的所有用户授予解密权限。请勿更改策略的现有部分。有关要包含的策略部分的信息,请参阅 为 CloudTrail 配置 Amazon KMS 密钥策略

  4. 使用 Amazon KMS put-key-policy 命令将修改后的 JSON 策略文件附加到密钥。

  5. 运行 CloudTrail create-trailupdate-trail 命令并指定 --kms-key-id 参数。此命令将启用日志加密。

    aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

    --kms-key-id 参数用于指定密钥(您将针对 CloudTrail 修改此密钥的策略)。它可以是以下格式中的任意一种:

    • 别名。示例:alias/MyAliasName

    • 别名 ARN。示例:arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • 密钥 ARN。示例:arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID。示例:12345678-1234-1234-1234-123456789012

    以下为响应示例:

    {
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "my-bucket-name"
}

    如果存在 KmsKeyId 元素,则表示已启用日志文件加密功能。加密的日志文件应在 5 分钟左右出现在您的存储桶中。

为事件数据存储启用日志文件加密

  1. 使用 Amazon CLI 创建密钥。您创建的密钥必须与事件数据存储位于同一区域。对于此步骤,请运行 Amazon KMS create-key 命令。

  2. 获取现有密钥策略,以对其进行编辑,以便与 CloudTrail 配合使用。您可以通过运行 Amazon KMS get-key-policy 命令来获取密钥策略。

  3. 向密钥策略添加所需部分,以便 CloudTrail 能够加密而且用户能够解密您的日志文件。确保为需要阅读日志文件的所有用户授予解密权限。请勿更改策略的现有部分。有关要包含的策略部分的信息,请参阅 为 CloudTrail 配置 Amazon KMS 密钥策略

  4. 运行 Amazon KMS put-key-policy 命令将编辑后的 JSON 策略文件附加到密钥。

  5. 运行 CloudTrail create-event-data-storeupdate-event-data-store 命令,并添加 --kms-key-id 参数。此命令将启用日志加密。

    aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey

    --kms-key-id 参数用于指定密钥(您将针对 CloudTrail 修改此密钥的策略)。它可以是以下四种格式中的任意一种:

    • 别名。示例:alias/MyAliasName

    • 别名 ARN。示例:arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • 密钥 ARN。示例:arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID。示例:12345678-1234-1234-1234-123456789012

    以下为响应示例:

    {
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}

    如果存在 KmsKeyId 元素,则表示已启用日志文件加密功能。加密的日志文件应在 5 分钟左右出现在您的事件数据存储中。

使用 Amazon CLI 禁用 CloudTrail 日志文件加密

要停止加密针对跟踪的日志,请运行 update-trail,并向 kms-key-id 参数传递一个空字符串:

aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

以下为响应示例:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "my-bucket-name"
}

如果不存在 KmsKeyId 值,则表示已停用日志文件加密功能。

重要

您无法停止针对事件数据存储的日志文件加密。