更新跟踪以使用 CMK - AWS CloudTrail
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新跟踪以使用 CMK

要更新跟踪以使用您针对 CloudTrail 修改过的客户主密钥 (CMK),请在 CloudTrail 控制台中完成以下步骤。

注意

按照以下过程更新跟踪将使用 SSE-KMS 加密日志文件,但不加密摘要文件。摘要文件使用 Amazon S3 托管加密密钥 (SSE-S3) 加密。

如果您使用带有S3 存储桶密钥,必须在密钥策略中允许 CloudTrail 使用 AWS KMS 操作GenerateDataKeyDescribeKey。如果cloudtrail.amazonaws.com未在密钥策略中授予这些权限,则无法创建或更新跟踪。

要使用 AWS CLI 更新跟踪,请参阅使用 AWS CLI 启用和禁用 CloudTrail 日志文件加密

更新跟踪以使用 CMK

  1. 登录 AWS 管理控制台,并通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail/

  2. 选择跟踪,然后选择跟踪名称。

  3. In一般详细信息中,选择编辑

  4. 适用于SSE-KMS 加密,如果尚未启用,请选择启用使用 SSE-KMS 而非 SSE-S3 而非来加密您的日志文件。默认值为启用。有关此加密类型的更多信息,请参阅使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据

    选择现有使用 AWS KMS 客户主密钥更新您的跟踪。选择与接收日志文件的 S3 存储桶位于同一个区域的 CMK。要验证 S3 存储桶的区域,请在 S3 控制台中查看其属性。

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 更新跟踪以使用 CMK。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅为 CloudTrail 配置 AWS KMS 密钥策略

    InAWS KMS 别名中,指定要更改策略以便与 CloudTrail 一起使用的别名,格式为alias/MyAliasName有关更多信息,请参阅 更新跟踪以使用 CMK。

    您可以键入别名、ARN 或全局唯一密钥 ID。如果该 CMK 属于另一账户,请验证密钥策略对您授予了使用它的权限。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择更新跟踪

    注意

    如果您选择的 CMK 被禁用或正等待删除,则不能使用该 CMK 保存跟踪。您可以启用该 CMK 或选择另一个 CMK。有关更多信息,请参阅 。密钥状态对客户主密钥的使用有何影响中的AWS Key Management Service 开发人员指南