Abilitazione della crittografia dei file di log di CloudTrail utilizzando la AWS CLI Disabilitazione della crittografia dei file di log di CloudTrail utilizzando la AWS CLI

Abilitazione e disabilitazione della crittografia dei file di log di CloudTrail con la AWS CLI

Questo argomento descrive come abilitare e disabilitare la crittografia SSE-KMS dei file di log per CloudTrail utilizzando la AWS CLI. Per informazioni generali, consulta Crittografia dei file di log di CloudTrail con chiavi AWS KMS (SSE-KMS).

Abilitazione della crittografia dei file di log di CloudTrail utilizzando la AWS CLI

Abilitazione della crittografia dei file di log per un trail
Abilitazione della crittografia dei file di log per un archivio dati di eventi

Abilitazione della crittografia dei file di log per un trail

Creare una chiave con la AWS CLI. La chiave che hai creato deve fare riferimento alla stessa regione del bucket S3 che riceve i file di log di CloudTrail. Per questo passaggio è necessario utilizzare il comando AWS KMS create-key.
Ottieni la policy della chiave esistente in modo che tu possa modificarla per l'uso con CloudTrail. Puoi recuperare la policy della chiave con il comando AWS KMS get-key-policy.
Aggiungi alla policy della chiave le sezioni necessarie in modo che CloudTrail possa eseguire la crittografia e che gli utenti possano decrittare i file di log. Assicurati che a tutti gli utenti che leggeranno i file di log vengano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta Configura policy della chiave AWS KMS per CloudTrail.
Collega il file della policy JSON modificato sulla chiave utilizzando il comando AWS KMS put-key-policy.
Esegui il comando CloudTrail create-trail o update-trail con il parametro --kms-key-id. Questo comando abilita la crittografia dei log.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
Il parametro --kms-key-id specifica la chiave di cui hai modificato la policy per CloudTrail. Può avere uno qualsiasi dei seguenti formati:
- Nome alias. Esempio: alias/MyAliasName
- ARN alias. Esempio: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN chiave. Esempio: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- ID chiave univoco a livello globale. Esempio: 12345678-1234-1234-1234-123456789012
Di seguito è riportata una risposta di esempio:
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "my-bucket-name"
}
```
La presenza dell'elemento KmsKeyId indica che è stata abilitata la crittografia dei file di log. I file di log crittografati dovrebbero apparire nel bucket dopo circa 15 minuti.

Abilitazione della crittografia dei file di registro per un archivio dati di eventi

Creare una chiave con la AWS CLI. La chiave che hai creato deve trovarsi nella stessa regione dell'archivio dati di eventi. A tale scopo, esegui il comando AWS KMS create-key.
Ottieni la policy della chiave esistente per modificarla per l'uso con CloudTrail. Puoi ottenere la policy della chiave eseguendo il comando AWS KMS get-key-policy.
Aggiungi alla policy della chiave le sezioni necessarie in modo che CloudTrail possa eseguire la crittografia e che gli utenti possano decrittare i file di log. Assicurati che a tutti gli utenti che leggeranno i file di log vengano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta Configura policy della chiave AWS KMS per CloudTrail.
Collega il file della policy modificato utilizzando il comando AWS KMS put-key-policy.
Esegui il comando CloudTrail create-event-data-store o update-event-data-store, quindi aggiungi il parametro --kms-key-id. Questo comando abilita la crittografia dei log.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
Il parametro --kms-key-id specifica la chiave di cui hai modificato la policy per CloudTrail. Può avere uno qualsiasi dei seguenti quattro formati:
- Nome alias. Esempio: alias/MyAliasName
- ARN alias. Esempio: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN chiave. Esempio: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- ID chiave univoco a livello globale. Esempio: 12345678-1234-1234-1234-123456789012
Di seguito è riportata una risposta di esempio:
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
La presenza dell'elemento KmsKeyId indica che è stata abilitata la crittografia dei file di log. I file di log crittografati dovrebbero apparire nell'archivio dati di eventi dopo circa 15 minuti.

Disabilitazione della crittografia dei file di log di CloudTrail utilizzando la AWS CLI

Per arrestare la crittografia dei log su un trail, esegui update-trail e invia una stringa vuota per il parametro kms-key-id:


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

Di seguito è riportata una risposta di esempio:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "my-bucket-name"
}

Per disabilitare la crittografia dei log su un archivio di dati degli eventi, esegui update-event-data-store e invia una stringa vuota per il parametro kms-key-id:


aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id ""

Di seguito è riportata una risposta di esempio:


{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}

L'assenza del valore KmsKeyId indica che la crittografia dei file di log non è più abilitata.

Importante

Non è possibile interrompere la crittografia dei file di log in un archivio dati di eventi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiornamento di una risorsa per l'utilizzo della chiave KMS

Riferimenti sugli eventi di registro