AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

用于 CloudTrail 时所必需的 CMK 策略部分

如果您在 CloudTrail 控制台中创建 CMK,CloudTrail 会为您添加所必需的 CMK 策略。您无需手动添加策略声明。请参阅在 CloudTrail 控制台中创建的默认密钥策略

如果您使用 IAM 控制台或 AWS CLI 创建 CMK,则必须为 CMK 策略添加至少三条语句以使其可用于 CloudTrail。

  1. 启用 CloudTrail 日志加密权限。请参阅授予加密权限

  2. 启用 CloudTrail 日志解密权限。请参阅授予解密权限

  3. 使 CloudTrail 能够描述 CMK 属性。请参阅使 CloudTrail 能够描述 CMK 属性

注意

向 CMK 策略添加新部分时,不要更改策略中任何已存在的部分。

警告

如果对跟踪启用了加密但禁用了 CMK 或未针对 CloudTrail 正确地配置 CMK 策略,则在纠正 CMK 问题前,CloudTrail 不会交付日志。