更新跟踪以使用 KMS 密钥 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

更新跟踪以使用 KMS 密钥

要更新跟踪以使用您针对 CloudTrail 修改过的 Amazon KMS key,请在 CloudTrail 控制台中完成以下步骤。

注意

按照以下过程更新跟踪将使用 SSE-KMS 加密日志文件,但不加密摘要文件。摘要文件使用 Amazon S3 托管加密密钥 (SSE-S3) 加密。

如果您通过 S3 存储桶密钥使用现有 S3 存储桶,则必须在密钥策略中允许 CloudTrail 使用 Amazon KMS 操作 GenerateDataKeyDescribeKey。如果未在密钥策略中授予 cloudtrail.amazonaws.com 这些权限,则无法创建或更新跟踪。

要使用 Amazon CLI 更新跟踪,请参阅使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密

更新跟踪以使用 KMS 密钥

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. 选择 Trails(跟踪),然后选择跟踪名称。

  3. General details(一般详细信息)中,选择 Edit(编辑)。

  4. 对于 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密),如果尚未启用,则选择 Enabled(已启用)以使用 SSE-KMS 而非 SSE-S3 来加密日志文件。默认值为 Enabled(已启用)。有关此加密类型的更多信息,请参阅使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据

    选择 Existing(现有)以使用 Amazon KMS key 更新您的跟踪。选择与接收日志文件的 S3 存储桶位于同一个区域的 KMS 密钥。要验证 S3 存储桶的区域,请在 S3 控制台中查看其属性。

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 更新跟踪以使用 KMS 密钥。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅为 CloudTrail 配置 Amazon KMS 密钥策略

    Amazon KMS Alias(Amazon KMS 别名)中,使用 alias/MyAliasName 的格式指定您更改其策略以便与 CloudTrail 一起使用的别名。有关更多信息,请参阅 更新跟踪以使用 KMS 密钥。

    您可以键入别名、ARN 或全局唯一密钥 ID。如果该 KMS 密钥属于另一账户,请验证密钥策略对您授予了使用它的权限。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择 Update trail(更新跟踪)。

    注意

    如果您选择的 KMS 密钥被禁用或正等待删除,则不能使用该 KMS 密钥保存跟踪。您可以启用该 KMS 密钥或选择另一个。有关更多信息,请参阅 Amazon Key Management Service开发人员指南中的密钥状态:对您的 KMS 密钥产生的影响