Aggiornamento di un trail per l'utilizzo di una chiave KMS Aggiornamento di un archivio dati di eventi per l'utilizzo di una chiave KMS

Aggiornamento di una risorsa per l'utilizzo della chiave KMS

Nella console AWS CloudTrail, aggiorna un trail o un archivio dati di eventi per utilizzare una chiave AWS Key Management Service. Tieni presente che l'utilizzo della tua chiave KMS comporta costi di AWS KMS per la crittografia e la decrittografia. Per ulteriori informazioni, consultare Prezzi di AWS Key Management Service.

Argomenti

Aggiornamento di un trail per l'utilizzo di una chiave KMS
Aggiornamento di un archivio dati di eventi per l'utilizzo di una chiave KMS

Aggiornamento di un trail per l'utilizzo di una chiave KMS

Per aggiornare un percorso per l'utilizzo della AWS KMS key che hai modificato per CloudTrail, completa i seguenti passaggi nella console CloudTrail.

Nota

L'aggiornamento di un trail con la procedura seguente consente di crittografare i file di log, ma non i file digest con SSE-KMS. I file digest sono crittografati mediante le chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Se utilizzi un bucket S3 esistente con una chiave del bucket S3, a CloudTrail deve essere concessa l'autorizzazione nella policy della chiave per utilizzare le operazioni AWS KMS GenerateDataKey e DescribeKey. Se a cloudtrail.amazonaws.com non sono concesse tali autorizzazioni nella policy della chiave, non puoi creare o aggiornare un percorso.

Per aggiornare un trail utilizzando la AWS CLI, consulta Abilitazione e disabilitazione della crittografia dei file di log di CloudTrail con la AWS CLI.

Per aggiornare un percorso per l'utilizzo della chiave KMS

Accedi alla AWS Management Console e apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Scegli Trails (Percorsi) e quindi un nome del percorso.
In General details (Dettagli generali), scegli Edit (Modifica).
Per Log file SSE-KMS encryption (Crittografia SSE-KMS dei file di log), scegli Enabled (Abilitata) per crittografare i file di log con SSE-KMS anziché con SSE-S3. L'impostazione predefinita è Enabled (Abilitata). Se non abiliti la crittografia SSE-KMS, i log vengono crittografati utilizzando la crittografia SSE-S3. Per ulteriori informazioni sulla crittografia SSE-KMS, consulta Utilizzo della crittografia lato server con AWS Key Management Service (SSE-KMS). Per ulteriori informazioni sulla crittografia SSE-S3, consulta Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Sceglie Existing (Esistente) per aggiornare il tuo percorso con la tua AWS KMS key. Scegli una chiave KMS che si trovi nella stessa regione del bucket S3 che riceve i file di log. Per verificare la regione per un bucket S3, visualizzare le relative proprietà nella console S3.

Nota
È anche possibile digitare l'ARN di una chiave da un altro account. Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS. La policy della chiave deve permettere a CloudTrail di utilizzare la chiave per crittografare i file di log e permettere agli utenti specificati di leggere i file di log in formato non crittografato. Per informazioni sulla modifica manuale della policy della chiave, consulta Configura policy della chiave AWS KMS per CloudTrail.

In AWS KMS Alias (Alias AWS KMS), specifica l'alias per il quale hai modificato la policy per l'utilizzo con CloudTrail nel formato alias/MyAliasName. Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS.

Puoi inserire il nome alias, l'ARN o l'ID chiave univoco a livello globale. Se la chiave KMS appartiene a un altro account, verifica che la policy della chiave disponga di autorizzazioni che ti consentano di utilizzarla. Il formato del valore può essere uno dei seguenti:
- Nome alias: alias/MyAliasName
- ARN alias: arn:aws:kms:region:123456789012:alias/MyAliasName
- ARN chiave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012
- ID chiave univoco a livello globale: 12345678-1234-1234-1234-123456789012
Scegli Update trail (Aggiorna percorso).

Nota
Se la chiave KMS selezionata è disabilitata o è in attesa di eliminazione, non puoi salvare il percorso con tale chiave KMS. Puoi abilitare la chiave KMS o sceglierne un'altra. Per ulteriori informazioni, consulta Key state: Effect on your KMS key nella Guida per gli sviluppatori di AWS Key Management Service.

Aggiornamento di un archivio dati di eventi per l'utilizzo di una chiave KMS

Per aggiornare un archivio dati di eventi per l'utilizzo della AWS KMS key che hai modificato per CloudTrail, completa i seguenti passaggi nella console CloudTrail.

Per aggiornare un archivio dati di eventi utilizzando la AWS CLI, consulta Aggiornamento di un archivio di dati degli eventi.

Importante

Disabilitare o eliminare la chiave KMS o rimuovere le autorizzazioni CloudTrail sulla chiave impedisce a CloudTrail di inserire eventi nell'archivio dati di eventi e impedisce agli utenti di interrogare i dati nell'archivio dati di eventi crittografati con la chiave. Dopo aver associato un archivio dati di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata. Prima di disabilitare o eliminare una chiave KMS che stai utilizzando con un archivio dati di eventi, elimina o esegui il backup dell'archivio dati.

Aggiornamento di un archivio dati di eventi per l'utilizzo della chiave KMS

Accedi alla AWS Management Console e apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Nel riquadro di navigazione, seleziona Event data stores (Archivi dati di eventi) in Lake. Scegli un archivio dati di eventi da aggiornare.
In General details (Dettagli generali), scegli Edit (Modifica).
Per Encryption (Crittografia), se non è già abilitata, scegli Use my own AWS KMS key per crittografare i file di log con la tua chiave KMS.

Scegli Existing (Esistente) per aggiornare l'archivio dati di eventi con la tua chiave KMS. Scegli una chiave KMS che si trovi nella stessa regione dell'archivio dati di eventi. Una chiave di un altro account non è supportata.

In Enter AWS KMS Alias (Inserisci alias AWS KMS), specifica l'alias per il quale hai modificato la policy per l'utilizzo con CloudTrail nel formato alias/MyAliasName. Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS.

Puoi scegliere un alias o utilizzare l'ID chiave univoco globale. Il formato del valore può essere uno dei seguenti:
- Nome alias: alias/MyAliasName
- ARN alias: arn:aws:kms:region:123456789012:alias/MyAliasName
- ARN chiave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012
- ID chiave univoco a livello globale: 12345678-1234-1234-1234-123456789012
Seleziona Salva modifiche.

Nota
Se la chiave KMS selezionata è disabilitata o è in attesa di eliminazione, non puoi salvare la configurazione dell'archivio dati di eventi con tale chiave KMS. Puoi abilitare la chiave KMS o sceglierne una diversa. Per ulteriori informazioni, consulta Key state: Effect on your KMS key nella Guida per gli sviluppatori di AWS Key Management Service.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Policy predefinita della chiave KMS creata nella console CloudTrail

Abilitazione e disabilitazione della crittografia dei file di log di CloudTrail con la AWS CLI