Amazon X-Ray 中的数据保护 - Amazon X-Ray
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon X-Ray 中的数据保护

Amazon X-Ray 始终对跟踪和相关静态数据进行加密。如果出于合规性要求或内部要求需要审核并禁用加密钥,您可以配置 X-Ray,使用Amazon Key Management Service(Amazon KMS) 客户主密钥 (CMK) 加密数据。

X-Ray 提供名为的 AWS 托管 CMKaws/xray。使用此键时,您只需要中的审核密钥用法Amazon CloudTrail,不需要管理密钥本身。如果您需要管理对密钥的访问权限或配置密钥轮换,可以创建客户托管 CMK

如果更改加密设置,X-Ray 需要花费一些时间来生成和传播数据密钥。在处理新密钥的过程中,X-Ray 可能会使用新旧设置的组合加密数据。更改加密设置后,不会对现有数据进行重新加密。

注意

Amazon KMS如果 X-Ray 使用 CMK 加密或解密跟踪数据,会收费。

  • Default encryption (默认加密)— 免费。

  • Amazon托管 CMK— 使用密钥需付费。

  • 客户托管 CMK— 付费存储和使用密钥需付费。

请参阅Amazon密钥管理服务定价了解更多信息。

注意

X-Ray 洞察通知将事件发送到 Amazon EventBridge,该事件目前不支持客户管理的 CMK。有关更多信息,请参阅 。Amazon EventBridge 中的数据保护

您必须具有对客户托管 CMK 的用户级访问权限才能将 X-Ray 置为使用该 CMK 然后查看加密的跟踪。参阅 加密用户权限 了解更多信息。

配置 X-Ray,使用 CMK 进行加密

  1. 打开X-Ray Console

  2. 选择加密

  3. 选择 Use a customer master key (使用客户主密钥)

  4. 从下拉菜单中选择一个密钥:

    • aw/ xray— 使用Amazon托管 CMK。

    • 密钥别名— 在您的账户中使用客户托管 CMK。

    • 手动输入密钥 ARN— 使用另一账户中的客户托管 CMK。在出现的字段中输入密钥的完整 Amazon 资源名称 (ARN)。

    注意

    X-Ray 不支持非对称 CMK。

  5. 选择 Apply

如果 X-Ray 无法访问您的加密钥,会停止存储数据。如果您的用户无法访问 CMK,或者您禁用了当前正在使用的密钥,会发生这种情况。如果发生这种情况,X-Ray 会在导航栏中显示了一个通知。

要使用 X-Ray API 配置加密设置,请参阅Configuring 采样、组和加密设置,并使用 Amazon X-RayAPI