AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

更新跟踪以使用 CMK

要更新跟踪以使用您针对 CloudTrail 修改过的客户主密钥 (CMK),请在 CloudTrail 控制台中完成以下步骤。

注意

按照以下过程更新跟踪将使用 SSE-KMS 加密日志文件,但不加密摘要文件。摘要文件使用 Amazon S3 托管加密密钥 (SSE-S3) 加密。

要使用 AWS CLI 更新跟踪,请参阅使用 AWS CLI 启用和禁用 CloudTrail 日志文件加密

更新跟踪以使用 CMK

  1. 登录 AWS 管理控制台并通过以下网址打开 CloudTrail 控制台:https://console.amazonaws.cn/cloudtrail/

  2. 选择 Trails,然后选择一个跟踪。

  3. 对于 Storage location (存储位置),选择铅笔图标。

  4. 选择 Advanced

  5. 对于 Encrypt log files (加密日志文件),选择 Yes (是),让 CloudTrail 使用 CMK 加密您的日志文件。

  6. 对于 Create a new KMS key,选择 No

  7. 对于 KMS key (KMS 密钥),选择您修改了其策略以便用于 CloudTrail 的 CMK 别名。

    注意

    选择与接收日志文件的 S3 存储桶位于同一个区域的 CMK。要验证 S3 存储桶的区域,请在 S3 控制台中检查其属性。

    您可以键入别名、ARN 或全局唯一密钥 ID。如果该 CMK 属于另一账户,请验证密钥策略对您授予了使用它的权限。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  8. 选择 Save

    注意

    如果您选择的 CMK 被禁用或正等待删除,则不能使用该 CMK 保存跟踪。您可以启用该 CMK 或选择另一个 CMK。有关更多信息,请参阅密钥状态对客户主密钥的使用有何影响