AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

用于 CloudTrail 的 AWS KMS 密钥策略

您可以通过三种方式创建客户主密钥 (CMK):

  • CloudTrail 控制台

  • IAM 控制台

  • AWS CLI

如果您在 CloudTrail 控制台中创建 CMK,CloudTrail 会为您添加所必需的 CMK 策略部分。您无需完成以下步骤。

如果您在 IAM 控制台或 AWS CLI 中创建 CMK,则需要为密钥添加策略部分,以便将它用于 CloudTrail。该策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。

请参阅以下资源:

  • 要使用 AWS CLI 创建 CMK,请参阅 create-key

  • 要编辑 CloudTrail 的 CMK 策略,请参阅 AWS Key Management Service Developer Guide 中的编辑密钥策略

  • 有关 CloudTrail 如何使用 AWS KMS 的技术详情,请参阅 AWS Key Management Service Developer Guide 中的 AWS CloudTrail 如何使用 AWS KMS