AWS CLI를 사용하여 CloudTrail 로그 파일 암호화 사용 및 사용 중지

이 주제에서는 AWS CLI를 사용하여 CloudTrail의 SSE-KMS 로그 파일 암호화를 사용 설정 및 사용 중지하는 방법을 설명합니다. 배경 정보는 AWS KMS 키를 사용하여 CloudTrail 로그 파일 암호화 (SSE-KMS)를 참조하세요.

AWS CLI를 사용하여 CloudTrail 로그 파일 암호화 사용 설정

• 추적에 대한 로그 파일 암호화 사용

• 이벤트 데이터 스토어의 로그 파일 암호화 사용

추적에 대한 로그 파일 암호화 사용

1. AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 CloudTrail 로그 파일을 수신하는 S3 버킷과 동일한 리전에 있어야 합니다. 이 단계에서는 AWS KMS create-key 명령을 사용합니다.

2. CloudTrail에 사용하기 위해 수정할 수 있도록 기존 키 정책을 가져옵니다. AWS KMS get-key-policy 명령을 사용하여 키 정책을 검색할 수 있습니다.

3. CloudTrail이 로그 파일을 암호화하고 사용자가 로그 파일을 복호화할 수 있도록 필요한 섹션을 키 정책에 추가합니다. 로그 파일을 읽는 모든 사용자에게는 복호화 권한을 부여해야 합니다. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 CloudTrail에 대한 AWS KMS 키 정책 구성을 참조하세요.

4. AWS KMS put-key-policy 명령을 사용하여 수정된 JSON 정책 파일을 키에 연결합니다.

5. --kms-key-id 파라미터와 함께 CloudTrail create-trail 또는 update-trail 명령을 실행합니다. 이 명령은 로그 암호화를 활성화합니다.

   aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

   --kms-key-id 파라미터는 CloudTrail용으로 수정한 정책의 키를 지정합니다. 이는 다음 형식 중 하나일 수 있습니다.

   • 별칭 이름. 예: alias/MyAliasName

   • 별칭 ARN. 예: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

   • 키 ARN. 예: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

   • 전역적으로 고유한 키 ID. 예: 12345678-1234-1234-1234-123456789012

   다음은 응답의 예입니다.

   {
       "IncludeGlobalServiceEvents": true, 
       "Name": "Default", 
       "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
       "LogFileValidationEnabled": false,
       "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
       "S3BucketName": "my-bucket-name"
   }

   KmsKeyId 요소가 있으면 로그 파일 암호화가 활성화되었음을 나타냅니다. 암호화된 로그 파일은 약 5분 후에 버킷에 나타나야 합니다.

이벤트 데이터 스토어의 로그 파일 암호화 사용

1. AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 이벤트 데이터 스토어와 동일한 리전에 있어야 합니다. 이 단계에서는 AWS KMS create-key 명령을 실행합니다.

2. CloudTrail에 사용하기 위해 편집할 기존 키 정책을 가져옵니다. AWS KMS get-key-policy 명령을 실행하여 키 정책을 가져올 수 있습니다.

3. CloudTrail이 로그 파일을 암호화하고 사용자가 로그 파일을 복호화할 수 있도록 필요한 섹션을 키 정책에 추가합니다. 로그 파일을 읽는 모든 사용자에게는 복호화 권한을 부여해야 합니다. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 CloudTrail에 대한 AWS KMS 키 정책 구성을 참조하세요.

4. AWS KMS put-key-policy 명령을 실행하여 편집된 JSON 정책 파일을 키에 연결합니다.

5. CloudTrail create-event-data-store 또는 update-event-data-store 명령을 실행한 다음 --kms-key-id 파라미터를 추가합니다. 이 명령은 로그 암호화를 활성화합니다.

   aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey

   --kms-key-id 파라미터는 CloudTrail용으로 수정한 정책의 키를 지정합니다. 이는 다음의 4개 형식 중 하나일 수 있습니다.

   • 별칭 이름. 예: alias/MyAliasName

   • 별칭 ARN. 예: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

   • 키 ARN. 예: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

   • 전역적으로 고유한 키 ID. 예: 12345678-1234-1234-1234-123456789012

   다음은 응답의 예입니다.

   {
       "Name": "my-event-data-store",
       "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "RetentionPeriod": "90",
       "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
       "MultiRegionEnabled": false,
       "OrganizationEnabled": false,
       "TerminationProtectionEnabled": true,
       "AdvancedEventSelectors": [{
           "Name": "Select all external events",
           "FieldSelectors": [{
               "Field": "eventCategory",
               "Equals": [
                   "ActivityAuditLog"
               ]
           }]
       }]
   }

   KmsKeyId 요소가 있으면 로그 파일 암호화가 활성화되었음을 나타냅니다. 암호화된 로그 파일은 약 5분 후에 이벤트 데이터 스토어에 나타나야 합니다.

AWS CLI를 사용하여 CloudTrail 로그 파일 암호화 사용 중지

추적에서 로그 암호화를 중지하려면 update-trail을 실행하고 kms-key-id 파라미터에 빈 문자열을 전달합니다.

aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

다음은 응답의 예입니다.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "my-bucket-name"
}

KmsKeyId 값이 없으면 로그 파일 암호화가 더 이상 활성화되어 있지 않음을 나타냅니다.

중요

이벤트 데이터 스토어에서는 로그 파일 암호화를 중지할 수 없습니다.