Abilitazione e disabilitazione della crittografia dei file di log di CloudTrail con la AWS CLI
Questo argomento descrive come abilitare e disabilitare la crittografia SSE-KMS dei file di log per CloudTrail utilizzando la AWS CLI. Per informazioni generali, consulta Crittografia dei file di log di CloudTrail con chiavi AWS KMS (SSE-KMS).
Argomenti
Abilitazione della crittografia dei file di log di CloudTrail utilizzando la AWS CLI
Abilitazione della crittografia dei file di log per un trail
-
Creare una chiave con la AWS CLI. La chiave che hai creato deve fare riferimento alla stessa Regione del bucket S3 che riceve i file di log di CloudTrail. Per questo passaggio è necessario utilizzare il comando AWS KMS create-key.
-
Ottieni la policy della chiave esistente in modo che tu possa modificarla per l'uso con CloudTrail. Puoi recuperare la policy della chiave con il comando AWS KMS get-key-policy.
-
Aggiungi alla policy della chiave le sezioni necessarie in modo che CloudTrail possa eseguire la crittografia e che gli utenti possano decrittare i file di log. Assicurati che a tutti gli utenti che leggeranno i file di log vengano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta Configura policy della chiave AWS KMS per CloudTrail.
-
Collega il file della policy JSON modificato sulla chiave utilizzando il comando AWS KMS put-key-policy.
-
Esegui il comando CloudTrail
create-trail
oupdate-trail
con il parametro--kms-key-id
. Questo comando abilita la crittografia dei log.aws cloudtrail update-trail --name Default --kms-key-id alias/
MyKmsKey
Il parametro
--kms-key-id
specifica la chiave di cui hai modificato la policy per CloudTrail. Può avere uno qualsiasi dei seguenti formati:-
Nome alias. Esempio:
alias/MyAliasName
-
ARN alias. Esempio:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
-
ARN chiave. Esempio:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
-
ID chiave univoco a livello globale. Esempio:
12345678-1234-1234-1234-123456789012
Di seguito è riportata una risposta di esempio:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:
123456789012
:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012
:key/12345678-1234-1234-1234-123456789012
", "S3BucketName": "my-bucket-name
" }La presenza dell'elemento
KmsKeyId
indica che è stata abilitata la crittografia dei file di log. I file di log crittografati dovrebbero apparire nel bucket dopo circa 5 minuti. -
Abilitazione della crittografia dei file di registro per un datastore di eventi
-
Creare una chiave con la AWS CLI. La chiave che hai creato deve trovarsi nella stessa Regione del datastore di eventi. A tale scopo, esegui il comando AWS KMS create-key.
-
Ottieni la policy della chiave esistente per modificarla per l'uso con CloudTrail. Puoi ottenere la policy della chiave eseguendo il comando AWS KMS get-key-policy.
-
Aggiungi alla policy della chiave le sezioni necessarie in modo che CloudTrail possa eseguire la crittografia e che gli utenti possano decrittare i file di log. Assicurati che a tutti gli utenti che leggeranno i file di log vengano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta Configura policy della chiave AWS KMS per CloudTrail.
-
Collega il file della policy modificato utilizzando il comando AWS KMS put-key-policy.
-
Esegui il comando CloudTrail
create-event-data-store
oupdate-event-data-store
, quindi aggiungi il parametro--kms-key-id
. Questo comando abilita la crittografia dei log.aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/
MyKmsKey
Il parametro
--kms-key-id
specifica la chiave di cui hai modificato la policy per CloudTrail. Può avere uno qualsiasi dei seguenti quattro formati:-
Nome alias. Esempio:
alias/MyAliasName
-
ARN alias. Esempio:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
-
ARN chiave. Esempio:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
-
ID chiave univoco a livello globale. Esempio:
12345678-1234-1234-1234-123456789012
Di seguito è riportata una risposta di esempio:
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }
La presenza dell'elemento
KmsKeyId
indica che è stata abilitata la crittografia dei file di log. I file di log crittografati dovrebbero apparire nel datastore di eventi dopo circa 5 minuti. -
Disabilitazione della crittografia dei file di log di CloudTrail utilizzando la AWS CLI
Per arrestare la crittografia dei log su un trail, esegui update-trail
e invia una stringa vuota per il parametro kms-key-id
:
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
Di seguito è riportata una risposta di esempio:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:
123456789012
:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "my-bucket-name
" }
L'assenza del valore KmsKeyId
indica che la crittografia dei file di log non è più abilitata.
Importante
Non è possibile interrompere la crittografia dei file di log in un datastore di eventi.