Actualizar un recurso para usar tu KMS clave con la consola - AWS CloudTrail
Actualice una ruta para usar una clave KMSActualice un banco de datos de eventos para usar una KMS clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualizar un recurso para usar tu KMS clave con la consola

En la AWS CloudTrail consola, actualiza el almacén de datos de una ruta o un evento para usar una AWS Key Management Service clave. Tenga en cuenta que el uso de su propia KMS clave conlleva AWS KMS costes de cifrado y descifrado. Para más información, consulte Precios de AWS Key Management Service.

Actualice una ruta para usar una clave KMS

Para actualizar una ruta y utilizarla para la AWS KMS key que la modificó CloudTrail, complete los siguientes pasos en la CloudTrail consola.

nota

Al actualizar una ruta con el siguiente procedimiento, se cifran los archivos de registro, pero no los archivos de resumen con SSE -KMS. Los archivos de resumen se cifran con claves de cifrado administradas por Amazon S3 (SSE-S3).

Si utiliza un bucket de S3 existente con una clave de bucket de S3, CloudTrail debe tener permiso en la política de claves para utilizar las AWS KMS acciones y. GenerateDataKey DescribeKey Si cloudtrail.amazonaws.com no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.

Para actualizar una ruta mediante el AWS CLI, consulteActivación y desactivación del cifrado de archivos de CloudTrail registro con AWS CLI.

Para actualizar una ruta, utilice su KMS clave

  1. Inicia sesión en AWS Management Console y abre la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento) y, a continuación, elija un nombre de registro de seguimiento.

  3. En General details (Detalles generales), elijaEdit (Editar).

  4. En KMSCifrado de archivos SSE de registro, seleccione Activado si desea cifrar los archivos de registro mediante el KMS cifrado SSE - en lugar del cifrado SSE -S3. El valor predeterminado es Enabled (Habilitado). Si no habilita el KMS cifradoSSE, sus registros se cifrarán mediante el cifrado SSE -S3. Para obtener más información sobre SSE el KMS cifrado, consulte Uso del cifrado del lado del servidor con AWS Key Management Service (SSE-). KMS Para obtener más información sobre el cifrado SSE -S3, consulte Uso del cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (-S3). SSE

    Elija Existing (Existente) para actualizar el registro de seguimiento con su AWS KMS key. Elija una KMS clave que esté en la misma región que el depósito de S3 que recibe los archivos de registro. Para verificar la región a la que pertenece un bucket de S3, consulte sus propiedades en la consola de S3.

    nota

    También puede escribir la clave ARN de otra cuenta. Para obtener más información, consulte Actualizar un recurso para usar tu KMS clave con la consola. La política de claves debe CloudTrail permitir usar la clave para cifrar los archivos de registro y permitir que los usuarios que especifique lean los archivos de registro sin cifrar. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar políticas AWS KMS clave para CloudTrail.

    En AWS KMS Alias, especifique el alias con el que ha cambiado la política para usarla CloudTrail, en el formato alias/MyAliasNamePara obtener más información, consulte Actualizar un recurso para usar tu KMS clave con la consola.

    Puede escribir el nombre del alias o ARN el identificador clave único a nivel mundial. Si la KMS clave pertenece a otra cuenta, compruebe que la política de claves tiene los permisos que le permiten usarla. El valor puede tener uno de los siguientes formatos:

    • Nombre del alias: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Clave ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de la clave único global: 12345678-1234-1234-1234-123456789012

  5. Elija Update trail (Actualizar registro de seguimiento).

    nota

    Si la KMS clave que ha elegido está deshabilitada o está pendiente de ser eliminada, no podrá guardar la ruta con esa KMS clave. Puede activar la KMS clave o elegir otra. Para obtener más información, consulta el artículo Estado de la clave: efecto en la KMS clave en la Guía para AWS Key Management Service desarrolladores.

Actualice un banco de datos de eventos para usar una KMS clave

Para actualizar un banco de datos de eventos para usar el AWS KMS key que ha modificado CloudTrail, complete los siguientes pasos en la CloudTrail consola.

Para actualizar un banco de datos de eventos mediante el AWS CLI, consulteActualice un banco de datos de eventos con el AWS CLI.

importante

La desactivación o eliminación de la KMS clave, o la eliminación de CloudTrail los permisos de la clave, CloudTrail impide que los eventos se introduzcan en el almacén de datos de eventos y evita que los usuarios consulten los datos del almacén de datos de eventos que estaba cifrado con la clave. Después de asociar un banco de datos de eventos a una KMS clave, la KMS clave no se puede quitar ni cambiar. Antes de deshabilitar o eliminar una KMS clave que esté utilizando con un almacén de datos de eventos, elimine o haga una copia de seguridad del almacén de datos de eventos.

Para actualizar un almacén de datos de eventos y usar tu KMS clave

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, elija Event data stores (Almacenes de datos de eventos) en Lake. Elija un almacén de datos de eventos para actualizarlo.

  3. En General details (Detalles generales), elijaEdit (Editar).

  4. Para el cifrado, si aún no está activado, selecciona Usar el mío AWS KMS key para cifrar los archivos de registro con tu propia KMS clave.

    Selecciona Existente para actualizar el almacén de datos de tus eventos con tu KMS clave. Elige una KMS clave que esté en la misma región que el banco de datos del evento. No se admite el uso de una clave de otra cuenta.

    En Introducir AWS KMS alias, especifique el alias con el que ha cambiado la política para usarla CloudTrail, en el formato alias/MyAliasNamePara obtener más información, consulte Actualizar un recurso para usar tu KMS clave con la consola.

    Puede elegir un alias o utilizar el ID global único de la clave. El valor puede tener uno de los siguientes formatos:

    • Nombre del alias: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Clave ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de la clave único global: 12345678-1234-1234-1234-123456789012

  5. Elija Guardar cambios.

    nota

    Si la KMS clave que eligió está deshabilitada o está pendiente de ser eliminada, no podrá guardar la configuración del almacén de datos del evento con esa KMS clave. Puede activar la KMS clave o elegir una clave diferente. Para obtener más información, consulta el artículo Estado de la clave: efecto en la KMS clave en la Guía para AWS Key Management Service desarrolladores.