Mettre à jour une ressource pour utiliser votre KMS clé avec la console - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour une ressource pour utiliser votre KMS clé avec la console

Dans la AWS CloudTrail console, mettez à jour un journal ou un magasin de données d'événements pour utiliser une AWS Key Management Service clé. Sachez que l'utilisation de votre propre KMS clé entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Pour plus d’informations, consultez Tarification d’AWS Key Management Service.

Mettre à jour un parcours pour utiliser une KMS clé

Pour mettre à jour un journal afin d'utiliser AWS KMS key celui pour lequel vous l'avez modifié CloudTrail, procédez comme suit dans la CloudTrail console.

Note

La mise à jour d'un journal à l'aide de la procédure suivante chiffre les fichiers journaux mais pas les fichiers de synthèse avec SSE -KMS. Les fichiers Digest sont chiffrés à l'aide de clés de chiffrement gérées par Amazon S3 (SSE-S3).

Si vous utilisez un compartiment S3 existant avec une clé de compartiment S3, vous CloudTrail devez être autorisé dans la politique des clés à utiliser les AWS KMS actions GenerateDataKey etDescribeKey. Si cloudtrail.amazonaws.com n'est pas accordé ces autorisations dans la politique de clé, vous ne pouvez pas créer ou mettre à jour un journal de suivi.

Pour mettre à jour un parcours à l'aide du AWS CLI, voirActivation et désactivation du chiffrement des fichiers CloudTrail journaux à l'aide du AWS CLI.

Pour mettre à jour un parcours afin d'utiliser votre KMS clé
  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Sélectionnez Trails (Journaux de suivi), puis choisissez un nom de journal de suivi.

  3. Dans General details (Détails généraux), choisissez Edit (Modifier).

  4. Pour KMSChiffrement des fichiers SSE journaux, choisissez Activé si vous souhaitez chiffrer vos fichiers journaux en utilisant le KMS cryptage SSE - au lieu du cryptage SSE -S3. La valeur par défaut est Activé. Si vous n'activez SSE pas le KMS chiffrement, vos journaux sont chiffrés à l'aide du chiffrement SSE -S3. Pour plus d'informations sur SSE KMS le chiffrement, voir Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS). Pour plus d'informations sur le chiffrement SSE -S3, consultez Utilisation du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (-S3). SSE

    Choisissez Existing (Existant) pour mettre à jour votre journal de suivi avec votre AWS KMS key. Choisissez une KMS clé située dans la même région que le compartiment S3 qui reçoit vos fichiers journaux. Pour vérifier la région pour un compartiment S3, consultez ses propriétés dans la console S3.

    Note

    Vous pouvez également saisir la clé ARN d'un autre compte. Pour plus d’informations, consultez Mettre à jour une ressource pour utiliser votre KMS clé avec la console. La politique de clé doit CloudTrail autoriser l'utilisation de la clé pour chiffrer vos fichiers journaux et permettre aux utilisateurs que vous spécifiez de lire les fichiers journaux sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez Configurer les politiques AWS KMS clés pour CloudTrail.

    Dans AWS KMS Alias, spécifiez l'alias pour lequel vous avez modifié la politique à utiliser CloudTrail, au format alias/MyAliasNamePour plus d’informations, consultez Mettre à jour une ressource pour utiliser votre KMS clé avec la console..

    Vous pouvez saisir le nom de l'alias ou l'ID de clé unique au monde. ARN Si la KMS clé appartient à un autre compte, vérifiez que la politique en matière de clés comporte des autorisations vous permettant de l'utiliser. La valeur peut avoir l'un des formats suivants :

    • Nom d'alias : alias/MyAliasName

    • Pseudonyme ARN : arn:aws:kms:region:123456789012:alias/MyAliasName

    • Clé ARN : arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de clé globalement unique : 12345678-1234-1234-1234-123456789012

  5. Choisissez Update trail (Mettre à jour un journal de suivi).

    Note

    Si la KMS clé que vous avez choisie est désactivée ou est en attente de suppression, vous ne pouvez pas enregistrer le suivi avec cette KMS clé. Vous pouvez activer la KMS clé ou en choisir une autre. Pour plus d'informations, voir État de la clé : effet sur votre KMS clé dans le guide du AWS Key Management Service développeur.

Mettre à jour un magasin de données d'événements pour utiliser une KMS clé

Pour mettre à jour un magasin de données d'événements afin d'utiliser AWS KMS key celui pour lequel vous avez modifié CloudTrail, procédez comme suit dans la CloudTrail console.

Pour mettre à jour un magasin de données d'événements à l'aide du AWS CLI, voirMettez à jour un magasin de données d'événements avec AWS CLI.

Important

La désactivation ou la suppression de la KMS clé, ou la suppression CloudTrail des autorisations associées à la clé, CloudTrail empêche l'ingestion d'événements dans le magasin de données d'événements et empêche les utilisateurs d'interroger les données du magasin de données d'événements chiffré avec la clé. Une fois que vous avez associé une banque de données d'événements à une KMS clé, la KMS clé ne peut pas être supprimée ou modifiée. Avant de désactiver ou de supprimer une KMS clé que vous utilisez avec un magasin de données d'événements, supprimez ou sauvegardez votre magasin de données d'événements.

Pour mettre à jour un magasin de données d'événements afin d'utiliser votre KMS clé
  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation de gauche, choisissez Event data stores (Magasin de données d'événement) dans Lake (Lac). Choisissez un magasin de données d'événement à mettre à jour.

  3. Dans General details (Détails généraux), choisissez Edit (Modifier).

  4. Pour le chiffrement, s'il n'est pas déjà activé, choisissez Utiliser mon propre AWS KMS key code pour chiffrer vos fichiers journaux avec votre propre KMS clé.

    Choisissez Existant pour mettre à jour votre banque de données d'événements avec votre KMS clé. Choisissez une KMS clé située dans la même région que le magasin de données d'événements. Une clé provenant d'un autre compte n'est pas prise en charge.

    Dans Enter AWS KMS Alias, spécifiez l'alias pour lequel vous avez modifié la politique à utiliser CloudTrail, au format alias/MyAliasNamePour plus d’informations, consultez Mettre à jour une ressource pour utiliser votre KMS clé avec la console..

    Vous pouvez choisir un alias ou utiliser l'identifiant de clé unique au monde. La valeur peut avoir l'un des formats suivants :

    • Nom d'alias : alias/MyAliasName

    • Pseudonyme ARN : arn:aws:kms:region:123456789012:alias/MyAliasName

    • Clé ARN : arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de clé globalement unique : 12345678-1234-1234-1234-123456789012

  5. Sélectionnez Enregistrer les modifications.

    Note

    Si la KMS clé que vous avez choisie est désactivée ou est en attente de suppression, vous ne pouvez pas enregistrer la configuration du magasin de données d'événements avec cette KMS clé. Vous pouvez activer la KMS clé ou en choisir une autre. Pour plus d'informations, voir État de la clé : effet sur votre KMS clé dans le guide du AWS Key Management Service développeur.