本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon X-Ray 中的数据保护 数据保护 Amazon X-Ray 始终对跟踪和相关静态数据进行加密。如果出于合规性要求或内部要求需要审核并禁用加密密钥,您可以配置 X-Ray 使用 Amazon Key Management Service (Amazon KMS) 密钥加密数据。 X-Ray 提供一个名为 `aws/xray` 的 Amazon 托管式密钥。如果您只希望[审核 Amazon CloudTrail 中的密钥使用情况](https://docs.amazonaws.cn/kms/latest/developerguide/logging-using-cloudtrail.html),不需要管理密钥本身,请使用此密钥。如果您需要管理对密钥的访问权限或配置密钥轮换,可以[创建客户托管密钥](https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html)。 如果更改加密设置,X-Ray 需要花费一些时间来生成和传播数据密钥。在处理新密钥的过程中,X-Ray 可能会使用新旧设置的组合加密数据。更改加密设置后,不会对现有数据进行重新加密。 **注意** 如果 X-Ray 使用 KMS 加密或解密跟踪数据,Amazon KMS 会收费。 **默认加密** - 免费。 **Amazon 托管式密钥** — 付费使用密钥。 **客户托管密钥** - 存储和使用密钥需付费。 有关详细信息,请参阅[Amazon Key Management Service定价](https://www.amazonaws.cn/kms/pricing/)。 **注意** X-Ray 见解通知将事件发送到 Amazon EventBridge,后者暂不支持客户托管密钥。有关更多信息,请参阅 [Amazon EventBridge 中的数据保护](https://docs.amazonaws.cn/eventbridge/latest/userguide/data-protection.html)。 您必须具有对客户托管密钥的用户级访问权限才能将 X-Ray 配置为使用该密钥然后查看加密的跟踪。请参阅[用户加密权限](security_iam_service-with-iam.md#xray-permissions-encryption)了解更多信息。 ------ #### [ CloudWatch console ] **使用 CloudWatch 控制台将 X-Ray 配置为使用 KMS 密钥进行加密** 1. 登录 Amazon Web Services 管理控制台并打开 CloudWatch 控制台([https://console.aws.amazon.com/cloudwatch/](https://console.amazonaws.cn/cloudwatch/))。 1. 在左侧导航窗格中,选择**设置**。 1. 在 **X-Ray 跟踪**部分中的**加密**下,选择**查看设置**。 1. 在**加密配置**部分,选择**编辑**。 1. 选择**使用 KMS 密钥**。 1. 从下拉菜单中选择一个密钥: + **aws/xray** – 使用 Amazon 托管式密钥。 + *密钥别名* - 在您的账户中使用客户托管 CMK。 + **手动输入密钥** 使用另一账户中的客户托管密钥。在出现的字段中输入密钥的完整 Amazon 资源名称 (ARN)。 1. 选择**更新加密**。 ------ #### [ X-Ray console ] **使用 X-Ray 控制台将 X-Ray 配置为使用 KMS 密钥进行加密** 1. 打开 [X-Ray 控制台](https://console.amazonaws.cn/xray/home#)。 1. 选择**加密**。 1. 选择**使用 KMS 密钥**。 1. 从下拉菜单中选择一个密钥: + **aws/xray** – 使用 Amazon 托管式密钥。 + *密钥别名* - 在您的账户中使用客户托管 CMK。 + **手动输入密钥** 使用另一账户中的客户托管密钥。在出现的字段中输入密钥的完整 Amazon 资源名称 (ARN)。 1. 选择**应用**。 ------ **注意** X-Ray 不支持非对称 KMS 密钥。 如果 X-Ray 无法访问您的加密密钥,会停止存储数据。如果您的用户无法访问 KMS 密钥,或者您禁用了当前正在使用的密钥,会发生这种情况。如果发生这种情况,X-Ray 会在导航栏中显示了一个通知。 要使用 X-Ray API 配置加密设置,请参阅 [使用 Amazon X-Ray API 配置采样、分组和加密设置](xray-api-configuration.md)。