本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 通过控制台更新资源以使用 KMS 密钥
在 CloudTrail 控制台上,更新跟踪或事件数据存储以使用 KMS 密钥。请注意,使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。有关更多信息,请参阅[Amazon Key Management Service 定价](https://www.amazonaws.cn/kms/pricing/)。
**Topics**
+ [更新跟踪以使用 KMS 密钥](#kms-key-policy-update-trail)
+ [更新事件数据存储以使用 KMS 密钥](#kms-key-policy-update-eds)
## 更新跟踪以使用 KMS 密钥
要更新跟踪以使用您修改过的 CloudTrail,请在 CloudTrail 控制台中完成以下步骤。 Amazon KMS key
**注意**
如果您使用带有 S3 存储[桶密钥](https://docs.amazonaws.cn/AmazonS3/latest/userguide/bucket-key.html)的现有 S3 存储桶,则 CloudTrail 必须获得密钥策略中的许可才能使用 Amazon KMS 操作`GenerateDataKey`和`DescribeKey`。如果未在密钥策略中授予 `cloudtrail.amazonaws.com` 这些权限,则无法创建或更新跟踪。
要使用更新跟踪 Amazon CLI,请参阅[使用启用和禁用 CloudTrail 日志文件、摘要文件和事件数据存储的加密 Amazon CLI](cloudtrail-log-file-encryption-cli.md)。
**更新跟踪以使用 KMS 密钥**
1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。
1. 选择**跟踪**,然后选择跟踪名称。
1. 在**一般详细信息**中,选择**编辑**。
1. 对于**日志文件 SSE-KMS 加密**,如果您希望使用 SSE-KMS 加密(而非 SSE-S3 加密)对您的日志文件和摘要文件进行加密,请选择**已启用**。默认值为**已启用**。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志文件和摘要文件进行加密。有关 SSE-KMS 加密的更多信息,请参阅将[服务器端加密与 Amazon Key Management Service (SSE-KMS) 一起使用](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingKMSEncryption.html)。有关 SSE-S3 加密的更多信息,请参阅[配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
选择**现有**以使用 Amazon KMS key更新您的跟踪。选择与接收日志文件的 S3 存储桶位于同一个区域的 KMS 密钥。要验证 S3 存储桶的区域,请在 S3 控制台中查看其属性。
**注意**
您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 [通过控制台更新资源以使用 KMS 密钥](#create-kms-key-policy-for-cloudtrail-update-trail)。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件和摘要文件,并允许您指定的用户读取未加密形式的日志文件或摘要文件。有关手动编辑密钥政策的信息,请参阅[为以下各项配置 Amazon KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。
在 **Amazon KMS Ali** as 中,按格式指定您更改策略以供使用的别名`alias/`*MyAliasName*。 CloudTrail有关更多信息,请参阅 [通过控制台更新资源以使用 KMS 密钥](#create-kms-key-policy-for-cloudtrail-update-trail)。
您可以键入别名、ARN 或全局唯一密钥 ID。如果该 KMS 密钥属于另一账户,请验证密钥策略对您授予了使用它的权限。值可以是以下格式之一:
+ **别名**:`alias/MyAliasName`
+ **别名 ARN**:`arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **密钥 ARN**:`arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **全局唯一密钥 ID**:`12345678-1234-1234-1234-123456789012`
1. 选择**更新跟踪**。
**注意**
如果您选择的 KMS 密钥被禁用或正等待删除,则不能使用该 KMS 密钥保存跟踪。您可以启用该 KMS 密钥或选择另一个。有关更多信息,请参阅 *Amazon Key Management Service 开发人员指南*中的[密钥状态:对您的 KMS 密钥产生的影响](https://docs.amazonaws.cn/kms/latest/developerguide/key-state.html)。
## 更新事件数据存储以使用 KMS 密钥
要更新事件数据存储以使用您修改过的 CloudTrail,请在 CloudTrail 控制台中完成以下步骤。 Amazon KMS key
要使用更新事件数据存储 Amazon CLI,请参阅[使用更新事件数据存储 Amazon CLI](lake-cli-update-eds.md)。
**重要**
禁用或删除 KMS 密钥或移除对密钥的 CloudTrail 权限可以 CloudTrail 防止将事件提取到事件数据存储中,并阻止用户查询使用该密钥加密的事件数据存储中的数据。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。在禁用或删除与事件数据存储配合使用的 KMS 密钥之前,请删除或备份您的事件数据存储。
**更新事件数据存储以使用 KMS 密钥**
1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。
1. 在导航窗格中,选择 **Lake** 中的**事件数据存储**。选择要更新的事件数据存储。
1. 在**一般详细信息**中,选择**编辑**。
1. 如果未启用**加密**选项,请选择**使用我自己的 Amazon KMS key**,以使用自己的 KMS 密钥来加密事件数据存储。
选择**现有**,以使用您的 KMS 密钥更新事件数据存储。选择与事件数据存储位于同一个区域内的 KMS 密钥。不支持来自其他账户的密钥。
在 **Enter Amazon KMS ** Alias 中,按以下格式指定您更改策略以供使用的别名`alias/`*MyAliasName*。 CloudTrail有关更多信息,请参阅 [通过控制台更新资源以使用 KMS 密钥](#create-kms-key-policy-for-cloudtrail-update-trail)。
您可以选择别名,也可以使用全局唯一的密钥 ID。值可以是以下格式之一:
+ **别名**:`alias/MyAliasName`
+ **别名 ARN**:`arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **密钥 ARN**:`arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **全局唯一密钥 ID**:`12345678-1234-1234-1234-123456789012`
1. 选择**保存更改**。
**注意**
如果您选择的 KMS 密钥被禁用或正等待删除,则不能使用该 KMS 密钥来保存事件数据存储配置。您可以启用该 KMS 密钥,也可以选择另一个密钥。有关更多信息,请参阅 *Amazon Key Management Service 开发人员指南*中的[密钥状态:对您的 KMS 密钥产生的影响](https://docs.amazonaws.cn/kms/latest/developerguide/key-state.html)。