기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
KMS 키를 사용하도록 리소스 업데이트
AWS CloudTrail 콘솔에서 AWS Key Management Service 키를 사용하도록 추적 또는 이벤트 데이터 스토어를 업데이트합니다. 자체 KMS 키를 사용하면 암호화 및 복호화에 대한 AWS KMS 비용이 발생한다는 점에 유의하세요. 자세한 내용은 AWS Key Management Service 요금
KMS 키를 사용하도록 추적 업데이트
CloudTrail용으로 수정한 AWS KMS key를 사용하도록 추적을 업데이트하려면 CloudTrail 콘솔에서 다음 단계를 완료합니다.
참고
다음 절차를 통해 추적을 업데이트하면 SSE-KMS를 사용하여 로그 파일이 암호화되지만 다이제스트 파일은 암호화되지 않습니다. 다이제스트 파일은 Amazon S3 관리형 암호화 키(SSE-S3)를 사용하여 암호화됩니다.
S3 버킷 키와 함께 기존 S3 버킷을 사용하는 경우 키 정책에서 AWS KMS 작업인 GenerateDataKey 및 DescribeKey를 사용할 수 있는 권한이 CloudTrail에 허용되어야 합니다. 키 정책에서 이러한 권한이 cloudtrail.amazonaws.com에 부여되지 않은 경우 추적을 생성하거나 업데이트할 수 없습니다.
AWS CLI를 사용하여 추적을 업데이트하려면 AWS CLI를 사용하여 CloudTrail 로그 파일 암호화 사용 및 사용 중지 단원을 참조하세요.
KMS 키를 사용하도록 추적을 업데이트하려면
AWS Management Console에 로그인하여 https://console.aws.amazon.com/cloudtrail/
에서 CloudTrail 콘솔을 엽니다. -
[추적(Trails)]을 선택한 다음, 추적 이름을 선택합니다.
-
[일반 세부 정보(General details)]에서 [편집(Edit)]을 선택합니다.
-
SSE-S3 암호화 대신 SSE-KMS 암호화를 사용하여 로그 파일을 암호화하려면 Log file SSE-KMS encryption(로그 파일 SSE-KMS 암호화)에서 Enabled(사용)를 선택합니다. 기본값은 [사용(Enabled)]입니다. SSE-KMS 암호화를 사용하지 않으면 로그는 SSE-S3 암호화를 사용하여 암호화합니다. SSE-KMS 암호화에 대한 자세한 내용은 AWS Key Management Service(SSE-KMS)로 서버 측 암호화 사용을 참조하세요. SSE-S3 암호화에 대한 자세한 내용은 Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화 사용을 참조하세요.
[기존(Existing)]을 선택하여 AWS KMS key를 사용한 추적을 업데이트합니다. 로그 파일을 수신하는 S3 버킷과 동일한 리전에 있는 KMS 키를 선택합니다. S3 버킷에 대한 리전을 검증하려면, S3 콘솔의 속성을 확인하세요.
참고
다른 계정에 있는 키의 ARN을 입력할 수도 있습니다. 자세한 내용은 KMS 키를 사용하도록 리소스 업데이트 단원을 참조하세요. 키 정책은 CloudTrail이 키를 사용하여 로그 파일을 암호화하고 지정한 사용자가 암호화되지 않은 형태로 로그 파일을 읽을 수 있도록 허용해야 합니다. 키 정책의 수동 편집에 대한 자세한 내용은 CloudTrail에 대한 AWS KMS 키 정책 구성을 참조하세요.
AWS KMS Alias(별칭)에서 CloudTrail에서 사용하기 위해 변경한 정책의 별칭을
alias/MyAliasName형식으로 지정합니다. 자세한 내용은 KMS 키를 사용하도록 리소스 업데이트을 참조하세요.별칭 이름, ARN 또는 전역적으로 고유한 키 ID를 입력할 수 있습니다. KMS 키가 다른 계정에 속한 경우 해당 키를 사용할 수 있는 권한이 키 정책에 있는지 확인합니다. 값은 다음 형식 중 하나일 수 있습니다.
-
별칭 이름:
alias/MyAliasName -
별칭 ARN:
arn:aws:kms:region:123456789012:alias/MyAliasName -
키 ARN:
arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012 -
전역적으로 고유한 키 ID:
12345678-1234-1234-1234-123456789012
-
-
[추적 업데이트(Update trail)]를 선택합니다.
참고
선택한 KMS 키가 사용 중지되었거나 삭제 대기 중인 경우 해당 KMS 키를 사용한 추적을 저장할 수 없습니다. KMS 키를 사용 설정하거나 다른 KMS 키를 선택할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 가이드의 키 상태: KMS 키에 미치는 영향을 참조하세요.
KMS 키를 사용하도록 이벤트 데이터 스토어 업데이트
CloudTrail용으로 수정한 AWS KMS key를 사용하도록 이벤트 데이터 스토어를 업데이트하려면 CloudTrail 콘솔에서 다음 단계를 완료합니다.
AWS CLI를 사용하여 이벤트 데이터 스토어를 업데이트하려면 AWS CLI로 이벤트 데이터 스토어 업데이트를 참조하세요.
중요
KMS 키를 사용 중지 또는 삭제하거나 키에 대한 CloudTrail 권한을 제거하면 CloudTrail이 이벤트 데이터 스토어로 이벤트를 수집할 수 없으며 사용자가 키로 암호화된 이벤트 데이터 스토어의 데이터를 쿼리할 수 없습니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다. 이벤트 데이터 스토어에 사용 중인 KMS 키를 사용하지 않거나 삭제하기 전에 이벤트 데이터 스토어를 삭제하거나 백업합니다.
KMS 키를 사용하도록 이벤트 데이터 스토어를 업데이트하려면
AWS Management Console에 로그인하여 https://console.aws.amazon.com/cloudtrail/
에서 CloudTrail 콘솔을 엽니다. -
탐색 창에서 Lake의 Event data stores(이벤트 데이터 스토어)를 선택합니다. 업데이트할 이벤트 데이터 스토어를 선택합니다.
-
[일반 세부 정보(General details)]에서 [편집(Edit)]을 선택합니다.
-
Encryption(암호화)에서 아직 사용하지 않은 경우 Use my own AWS KMS key(자체 KMS 키 사용)를 선택하여 자체 KMS 키로 로그 파일을 암호화합니다.
Existing(기존)을 선택하여 KMS 키로 이벤트 데이터 스토어를 업데이트합니다. 이벤트 데이터 스토어와 동일한 리전에 있는 KMS 키를 선택합니다. 다른 계정의 키는 지원하지 않습니다.
Enter AWS KMS Alias(KMS 별칭 입력)에서 CloudTrail에서 사용하기 위해 변경한 정책의 별칭을
alias/MyAliasName형식으로 지정합니다. 자세한 내용은 KMS 키를 사용하도록 리소스 업데이트을 참조하세요.별칭을 선택하거나 전역적 고유 키 ID를 사용할 수 있습니다. 값은 다음 형식 중 하나일 수 있습니다.
-
별칭 이름:
alias/MyAliasName -
별칭 ARN:
arn:aws:kms:region:123456789012:alias/MyAliasName -
키 ARN:
arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012 -
전역적으로 고유한 키 ID:
12345678-1234-1234-1234-123456789012
-
-
Save changes(변경 사항 저장)를 선택합니다.
참고
선택한 KMS 키를 사용 중지되었거나 삭제 대기 중인 경우 해당 KMS 키를 사용한 이벤트 데이터 스토어 구성을 저장할 수 없습니다. KMS 키를 사용하거나 다른 키를 선택할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 가이드의 키 상태: KMS 키에 미치는 영향을 참조하세요.
