更新资源以使用 KMS 密钥 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新资源以使用 KMS 密钥

在 Amazon CloudTrail 控制台中,更新跟踪或事件数据存储以使用密 Amazon Key Management Service 钥。请注意,使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。有关更多信息,请参阅Amazon Key Management Service 定价

更新跟踪以使用 KMS 密钥

要更新跟踪以使用您修改过的 CloudTrail,请在 CloudTrail 控制台中完成以下步骤。 Amazon KMS key

注意

按照以下过程更新跟踪将使用 SSE-KMS 加密日志文件,但不加密摘要文件。摘要文件使用 Simple Storage Service(Amazon S3)托管加密密钥(SSE-S3)加密。

如果您使用带有 S3 存储桶密钥的现有 S3 存储桶,则 CloudTrail 必须获得密钥策略中的许可才能使用 Amazon KMS 操作GenerateDataKeyDescribeKey。如果未在密钥策略中授予 cloudtrail.amazonaws.com 这些权限,则无法创建或更新跟踪。

要使用更新跟踪 Amazon CLI,请参阅使用启用和禁用 CloudTrail 日志文件加密 Amazon CLI

更新跟踪以使用 KMS 密钥
  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 选择 Trails(跟踪记录),然后选择跟踪记录名称。

  3. General details(一般详细信息)中,选择 Edit(编辑)。

  4. 对于 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密),如果您希望使用 SSE-KMS 加密而非 SSE-S3 加密对您的日志文件进行加密,请选择 Enabled(已启用)。默认值为 Enabled(已启用)。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志进行加密。有关 SSE-KMS 加密的更多信息,请参阅将服务器端加密与 Amazon Key Management Service (SSE-KMS) 一起使用。有关 SSE-S3 加密的更多信息,请参阅配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)

    选择 Existing(现有)以使用 Amazon KMS key更新您的跟踪。选择与接收日志文件的 S3 存储桶位于同一个区域的 KMS 密钥。要验证 S3 存储桶的区域,请在 S3 控制台中查看其属性。

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 更新资源以使用 KMS 密钥。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥政策的信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail

    Amazon KMS Ali as 中,按格式指定您更改策略以供使用的别名alias/MyAliasName。 CloudTrail有关更多信息,请参阅 更新资源以使用 KMS 密钥

    您可以键入别名、ARN 或全局唯一密钥 ID。如果该 KMS 密钥属于另一账户,请验证密钥策略对您授予了使用它的权限。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择 Update trail(更新跟踪)。

    注意

    如果您选择的 KMS 密钥被禁用或正等待删除,则不能使用该 KMS 密钥保存跟踪。您可以启用该 KMS 密钥或选择另一个。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的密钥状态:对您的 KMS 密钥产生的影响

更新事件数据存储以使用 KMS 密钥

要更新事件数据存储以使用您修改过的 CloudTrail,请在 CloudTrail 控制台中完成以下步骤。 Amazon KMS key

要使用更新事件数据存储 Amazon CLI,请参阅使用更新事件数据存储 Amazon CLI

重要

禁用或删除 KMS 密钥或移除对密钥的 CloudTrail 权限可以 CloudTrail 防止将事件提取到事件数据存储中,并阻止用户查询使用该密钥加密的事件数据存储中的数据。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。在禁用或删除与事件数据存储配合使用的 KMS 密钥之前,请删除或备份您的事件数据存储。

更新事件数据存储以使用 KMS 密钥
  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,选择 Lake 中的 Event data stores(事件数据存储)。选择要更新的事件数据存储。

  3. General details(一般详细信息)中,选择 Edit(编辑)。

  4. 如果未启用加密选项,则选择使用自己的 Amazon KMS key,以使用自己的 KMS 密钥来加密日志文件。

    选择 Existing(现有),以使用您的 KMS 密钥更新事件数据存储。选择与事件数据存储位于同一个区域内的 KMS 密钥。不支持来自其他账户的密钥。

    Enter Amazon KMS Alias 中,按以下格式指定您更改策略以供使用的别名alias/MyAliasName。 CloudTrail有关更多信息,请参阅 更新资源以使用 KMS 密钥

    您可以选择别名,也可以使用全局唯一的密钥 ID。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择保存更改

    注意

    如果您选择的 KMS 密钥被禁用或正等待删除,则不能使用该 KMS 密钥来保存事件数据存储配置。您可以启用该 KMS 密钥,也可以选择另一个密钥。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的密钥状态:对您的 KMS 密钥产生的影响