更新资源以使用 KMS 密钥 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

更新资源以使用 KMS 密钥

在 Amazon CloudTrail 控制台中,更新跟踪或事件数据存储以使用 Amazon Key Management Service 密钥。请注意,使用您自己的 KMS 密钥将产生用于加密和解密的 Amazon KMS 费用。有关更多信息,请参阅 Amazon Key Management Service 定价

更新跟踪以使用 KMS 密钥

要更新跟踪以使用您针对 CloudTrail 修改过的 Amazon KMS key,请在 CloudTrail 控制台中完成以下步骤。

注意

按照以下过程更新跟踪将使用 SSE-KMS 加密日志文件,但不加密摘要文件。摘要文件使用 Simple Storage Service(Amazon S3)托管加密密钥(SSE-S3)加密。

如果您通过 S3 存储桶密钥使用现有 S3 存储桶,则必须在密钥策略中允许 CloudTrail 使用 Amazon KMS 操作 GenerateDataKeyDescribeKey。如果未在密钥策略中授予 cloudtrail.amazonaws.com 这些权限,则无法创建或更新跟踪。

要使用 Amazon CLI 更新跟踪,请参阅使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密

更新跟踪以使用 KMS 密钥
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. 选择 Trails(跟踪记录),然后选择跟踪记录名称。

  3. General details(一般详细信息)中,选择 Edit(编辑)。

  4. 对于 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密),如果您希望使用 SSE-KMS 加密而非 SSE-S3 加密对您的日志文件进行加密,请选择 Enabled(已启用)。默认值为 Enabled(已启用)。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志进行加密。有关 SSE-KMS 加密的更多信息,请参阅配合使用服务器端加密与 Amazon Key Management Service(SSE-KMS)。有关 SSE-S3 加密的更多信息,请参阅配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)

    选择 Existing(现有)以使用 Amazon KMS key 更新您的跟踪。选择与接收日志文件的 S3 存储桶位于同一个区域的 KMS 密钥。要验证 S3 存储桶的区域,请在 S3 控制台中查看其属性。

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅更新资源以使用 KMS 密钥。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅为 CloudTrail 配置 Amazon KMS 密钥策略

    Amazon KMS Alias(Amazon KMS 别名)中,使用格式 alias/MyAliasName 指定您更改其策略以便与 CloudTrail 配合使用的别名。有关更多信息,请参阅更新资源以使用 KMS 密钥

    您可以键入别名、ARN 或全局唯一密钥 ID。如果该 KMS 密钥属于另一账户,请验证密钥策略对您授予了使用它的权限。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择 Update trail(更新跟踪)。

    注意

    如果您选择的 KMS 密钥被禁用或正等待删除,则不能使用该 KMS 密钥保存跟踪。您可以启用该 KMS 密钥或选择另一个。有关更多信息,请参阅 Amazon Key Management Service开发人员指南中的密钥状态:对您的 KMS 密钥产生的影响

更新事件数据存储以使用 KMS 密钥

要更新事件数据存储以使用您为 CloudTrail 修改的 Amazon KMS key,请在 CloudTrail 控制台中完成以下步骤。

要使用 Amazon CLI 更新事件数据存储,请参阅 更新事件数据存储

重要

禁用或删除 KMS 密钥或者移除针对该密钥的 CloudTrail 权限,可以防止 CloudTrail 将事件摄入事件数据存储,并可防止用户查询使用该密钥加密的事件数据存储中的数据。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。在禁用或删除与事件数据存储配合使用的 KMS 密钥之前,请删除或备份您的事件数据存储。

更新事件数据存储以使用 KMS 密钥
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. 在导航窗格中,选择 Lake 中的 Event data stores(事件数据存储)。选择要更新的事件数据存储。

  3. General details(一般详细信息)中,选择 Edit(编辑)。

  4. 对于 Encryption(加密),如果未启用该选项,则选择 Use my own Amazon KMS key(使用我自己的 Amazon KMS key),以使用您自己的 KMS 密钥来加密日志文件。

    选择 Existing(现有),以使用您的 KMS 密钥更新事件数据存储。选择与事件数据存储位于同一个区域内的 KMS 密钥。不支持来自其他账户的密钥。

    Enter Amazon KMS Alias(输入 Amazon KMS 别名)中,使用格式 alias/MyAliasName 指定您更改其策略以便与 CloudTrail 配合使用的别名。有关更多信息,请参阅更新资源以使用 KMS 密钥

    您可以选择别名,也可以使用全局唯一的密钥 ID。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择 Save changes(保存更改)。

    注意

    如果您选择的 KMS 密钥被禁用或正等待删除,则不能使用该 KMS 密钥来保存事件数据存储配置。您可以启用该 KMS 密钥,也可以选择另一个密钥。有关更多信息,请参阅 Amazon Key Management Service开发人员指南中的密钥状态:对您的 KMS 密钥产生的影响