AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS

Beschreibung

Das AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS Runbook verschlüsselt einen AWS CloudTrail (CloudTrail) -Trail mit dem vom Kunden verwalteten AWS Key Management Service (AWS KMS) Schlüssel, den Sie angeben. Dieses Runbook sollte nur als Grundlage verwendet werden, um sicherzustellen, dass Ihre CloudTrail Trails gemäß den empfohlenen Mindestsicherheitsmethoden verschlüsselt werden. Wir empfehlen, mehrere Trails mit unterschiedlichen KMS-Schlüsseln zu verschlüsseln. CloudTrailDigest-Dateien sind nicht verschlüsselt. Wenn Sie den EnableLogFileValidation Parameter bereits auf true für den Trail gesetzt haben, finden Sie weitere Informationen im Abschnitt „Serverseitige Verschlüsselung mit AWS KMS verwalteten Schlüsseln verwenden“ im Thema Bewährte Methoden zur CloudTrail präventiven Sicherheit im AWS CloudTrailBenutzerhandbuch.

Diese Automatisierung ausführen (Konsole)

Art des Dokuments

-Automatisierung

Eigentümer

Amazon

Plattformen

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen.

  • KMS KeyId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der ARN, die Schlüssel-ID oder der Schlüsselalias des vom Kunden verwalteten Schlüssels, den Sie zum Verschlüsseln des im TrailName Parameter angegebenen Trails verwenden möchten.

  • TrailName

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der ARN oder der Name des Trails, den Sie aktualisieren möchten, der verschlüsselt werden soll.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • cloudtrail:GetTrail

  • cloudtrail:UpdateTrail

Dokumentschritte

  • aws:executeAwsApi- Aktiviert die Verschlüsselung auf dem Pfad, den Sie im TrailName Parameter angeben.

  • aws:executeAwsApi- Erfasst den ARN für den vom Kunden verwalteten Schlüssel, den Sie im KMSKeyId Parameter angeben.

  • aws:assertAwsResourceProperty- Überprüft, ob die Verschlüsselung auf dem CloudTrail Trail aktiviert wurde.