AWS X-Ray 中的数据保护 - AWS X-Ray
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS X-Ray 中的数据保护

AWS X-Ray 始终对跟踪和相关静态数据进行加密。如果出于合规性要求或内部要求需要审核并禁用加密密钥,您可以配置 X-Ray,以使用 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 加密数据。

X-Ray 提供名为 aws/xray 的 AWS 托管 CMK。如果您只希望审核 AWS CloudTrail 中的密钥使用情况,不需要管理密钥本身,请使用此密钥。如果您需要管理对密钥的访问权限或配置密钥轮换,可以创建客户托管 CMK

如果更改加密设置,X-Ray 需要花费一些时间来生成和传播数据密钥。在处理新密钥的过程中,X-Ray 可能会使用新旧设置的组合加密数据。更改加密设置后,不会对现有数据进行重新加密。

注意

如果 X-Ray 使用 CMK 加密或解密跟踪数据,AWS KMS 会收费。

  • 默认加密 – 免费。

  • AWS 托管 CMK – 使用密钥需付费。

  • 客户托管 CMK – 存储和使用密钥需付费。

有关详细信息,请参阅 AWS Key Management Service 定价

您必须具有对客户托管 CMK 的用户级访问权限才能将 X-Ray 配置为使用该 CMK 然后查看加密的跟踪。有关更多信息,请参阅用户加密权限

配置 X-Ray,使用 CMK 进行加密

  1. 打开 X-Ray 控制台

  2. 选择加密

  3. 选择 Use a customer master key (使用客户主密钥)

  4. 从下拉菜单中选择一个密钥:

    • aws/xray – 使用 AWS 托管 CMK。

    • key alias (密钥别名) – 在您的账户中使用客户托管 CMK。

    • Manually enter a key ARN (手动输入密钥 ARN) – 使用另一账户中的客户托管 CMK。在出现的字段中输入密钥的完整 Amazon 资源名称 (ARN)。

    注意

    X-Ray 不支持非对称 CMK。

  5. 选择 Apply

如果 X-Ray 无法访问您的加密密钥,会停止存储数据。如果您的用户无法访问 CMK,或者您禁用了当前正在使用的密钥,会发生这种情况。如果发生这种情况,X-Ray 会在导航栏中显示了一个通知。

要使用 X-Ray API 配置加密设置,请参阅利用 AWS X-Ray API 配置采样、组和加密设置