Amazon X-Ray 中的数据保护 - Amazon X-Ray
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon X-Ray 中的数据保护

Amazon X-Ray 始终对跟踪和相关静态数据进行加密。如果出于合规性要求或内部要求需要审核并禁用加密密钥,您可以配置 X-Ray 使用 Amazon Key Management Service (Amazon KMS) 密钥加密数据。

X-Ray 提供一个名为 aws/xray 的 Amazon 托管式密钥。如果您只希望审核 Amazon CloudTrail 中的密钥使用情况,不需要管理密钥本身,请使用此密钥。如果您需要管理对密钥的访问权限或配置密钥轮换,可以创建客户托管密钥

如果更改加密设置,X-Ray 需要花费一些时间来生成和传播数据密钥。在处理新密钥的过程中,X-Ray 可能会使用新旧设置的组合加密数据。更改加密设置后,不会对现有数据进行重新加密。

注意

如果 X-Ray 使用 KMS 加密或解密跟踪数据,Amazon KMS 会收费。

  • 默认加密 - 免费。

  • Amazon 托管式密钥 — 付费使用密钥。

  • 客户托管密钥 - 存储和使用密钥需付费。

有关详细信息,请参阅Amazon Key Management Service定价

注意

X-Ray 见解通知将事件发送到 Amazon EventBridge,后者暂不支持客户托管密钥。有关更多信息,请参阅 Amazon EventBridge 中的数据保护

您必须具有对客户托管密钥的用户级访问权限才能将 X-Ray 配置为使用该密钥然后查看加密的跟踪。参阅 用户加密权限 了解更多信息。

CloudWatch console
使用 CloudWatch 控制台将 X-Ray 配置为使用 KMS 密钥进行加密

  1. 登录Amazon Web Services Management Console并打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 在左侧导航窗格中选择设置

  3. X-Ray 跟踪部分中的加密下,选择查看设置

  4. 加密配置部分,选择编辑

  5. 选择使用 KMS 密钥

  6. 从下拉菜单中选择一个密钥:

    • aws/xray – 使用 Amazon 托管式密钥。

    • 密钥别名 - 在您的账户中使用客户托管 CMK。

    • 手动输入密钥 使用另一账户中的客户托管密钥。在出现的字段中输入密钥的完整 Amazon 资源名称 (ARN)。

  7. 选择更新加密

X-Ray console
使用 X-Ray 控制台将 X-Ray 配置为使用 KMS 密钥进行加密

  1. 打开 X-Ray 控制台

  2. 选择加密

  3. 选择使用 KMS 密钥

  4. 从下拉菜单中选择一个密钥:

    • aws/xray – 使用 Amazon 托管式密钥。

    • 密钥别名 - 在您的账户中使用客户托管 CMK。

    • 手动输入密钥 使用另一账户中的客户托管密钥。在出现的字段中输入密钥的完整 Amazon 资源名称 (ARN)。

  5. 选择应用

注意

X-Ray 不支持非对称 KMS 密钥。

如果 X-Ray 无法访问您的加密密钥,会停止存储数据。如果您的用户无法访问 KMS 密钥,或者您禁用了当前正在使用的密钥,会发生这种情况。如果发生这种情况,X-Ray 会在导航栏中显示了一个通知。

要使用 X-Ray API 配置加密设置,请参阅 利用 Amazon X-Ray API 配置采样、组和加密设置