Aggiornamento di una risorsa per l'utilizzo della chiave KMS - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento di una risorsa per l'utilizzo della chiave KMS

Nella AWS CloudTrail console, aggiorna un percorso o un archivio dati di eventi per utilizzare una AWS Key Management Service chiave. Tieni presente che l'utilizzo della tua chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Per ulteriori informazioni, consulta la sezione Prezzi di AWS Key Management Service.

Aggiornamento di un trail per l'utilizzo di una chiave KMS

Per aggiornare un percorso in modo da utilizzare AWS KMS key quello per cui lo hai modificato CloudTrail, completa i seguenti passaggi nella console. CloudTrail

Nota

L'aggiornamento di un trail con la procedura seguente consente di crittografare i file di log, ma non i file digest con SSE-KMS. I file digest sono crittografati mediante le chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Se stai utilizzando un bucket S3 esistente con una chiave S3 Bucket, CloudTrail devi disporre dell'autorizzazione nella policy chiave per utilizzare le azioni e. AWS KMS GenerateDataKey DescribeKey Se a cloudtrail.amazonaws.com non sono concesse tali autorizzazioni nella policy della chiave, non puoi creare o aggiornare un percorso.

Per aggiornare un percorso utilizzando il, consulta. AWS CLIAttivazione e disabilitazione della crittografia dei file di CloudTrail registro con AWS CLI

Per aggiornare un percorso per l'utilizzo della chiave KMS
  1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Scegli Trails (Percorsi) e quindi un nome del percorso.

  3. In General details (Dettagli generali), scegli Edit (Modifica).

  4. Per Log file SSE-KMS encryption (Crittografia SSE-KMS dei file di log), scegli Enabled (Abilitata) per crittografare i file di log con SSE-KMS anziché con SSE-S3. L'impostazione predefinita è Enabled (Abilitata). Se non abiliti la crittografia SSE-KMS, i log vengono crittografati utilizzando la crittografia SSE-S3. Per ulteriori informazioni sulla crittografia SSE-KMS, vedere Utilizzo della crittografia lato server con (SSE-KMS). AWS Key Management Service Per ulteriori informazioni sulla crittografia SSE-S3, consulta Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

    Sceglie Existing (Esistente) per aggiornare il tuo percorso con la tua AWS KMS key. Scegli una chiave KMS che si trovi nella stessa Regione del bucket S3 che riceve i file di log. Per verificare la Regione per un bucket S3, visualizza le relative proprietà nella console S3.

    Nota

    È anche possibile digitare l'ARN di una chiave da un altro account. Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS. La politica chiave deve consentire di utilizzare la chiave CloudTrail per crittografare i file di registro e consentire agli utenti specificati di leggere i file di registro in formato non crittografato. Per informazioni sulla modifica manuale della policy della chiave, consulta Configurare le politiche AWS KMS chiave per CloudTrail.

    In AWS KMS Alias, specifica l'alias per il quale hai modificato la politica da utilizzare CloudTrail, nel formato. alias/ MyAliasName Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS.

    Puoi inserire il nome alias, l'ARN o l'ID chiave univoco a livello globale. Se la chiave KMS appartiene a un altro account, verifica che la policy della chiave disponga di autorizzazioni che ti consentano di utilizzarla. Il formato del valore può essere uno dei seguenti:

    • Nome alias: alias/MyAliasName

    • ARN alias: arn:aws:kms:region:123456789012:alias/MyAliasName

    • ARN chiave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID chiave univoco a livello globale: 12345678-1234-1234-1234-123456789012

  5. Scegli Update trail (Aggiorna percorso).

    Nota

    Se la chiave KMS selezionata è disabilitata o è in attesa di eliminazione, non puoi salvare il percorso con tale chiave KMS. Puoi abilitare la chiave KMS o sceglierne un'altra. Per ulteriori informazioni, consulta Key state: Effect on your KMS key nella Guida per gli sviluppatori di AWS Key Management Service .

Aggiornamento di un datastore di eventi per l'utilizzo di una chiave KMS

Per aggiornare un Event Data Store per utilizzare AWS KMS key quello per cui hai modificato CloudTrail, completa i seguenti passaggi nella CloudTrail console.

Per aggiornare un Event Data Store utilizzando il AWS CLI, vedereAggiornate un archivio dati di eventi con AWS CLI.

Importante

La disabilitazione o l'eliminazione della chiave KMS o la rimozione CloudTrail delle autorizzazioni sulla chiave CloudTrail impedisce l'acquisizione di eventi nell'archivio dati degli eventi e impedisce agli utenti di interrogare i dati nell'archivio dati degli eventi che è stato crittografato con la chiave. Dopo aver associato un archivio dati di eventi a una chiave KMS, la chiave KMS non può essere rimossa né modificata. Prima di disabilitare o eliminare una chiave KMS che stai utilizzando con un datastore di eventi, elimina o esegui il backup dell'archivio dati.

Aggiornamento di un datastore di eventi per l'utilizzo della chiave KMS
  1. Accedi e apri la console all'indirizzo https://console.aws.amazon.com/cloudtrail/. AWS Management Console CloudTrail

  2. Nel riquadro di navigazione, seleziona Event data stores (Archivi dati di eventi) in Lake. Scegli un datastore di eventi da aggiornare.

  3. In General details (Dettagli generali), scegli Edit (Modifica).

  4. Per Encryption (Crittografia), se non è già abilitata, scegli Use my own AWS KMS key per crittografare i file di log con la tua chiave KMS.

    Scegli Existing (Esistente) per aggiornare il datastore di eventi con la tua chiave KMS. Scegli una chiave KMS che si trovi nella stessa Regione del datastore di eventi. Una chiave di un altro account non è supportata.

    In Inserisci AWS KMS alias, specifica l'alias per il quale hai modificato la politica da utilizzare CloudTrail, nel formato. alias/ MyAliasName Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS.

    Puoi scegliere un alias o utilizzare l'ID chiave univoco globale. Il formato del valore può essere uno dei seguenti:

    • Nome alias: alias/MyAliasName

    • ARN alias: arn:aws:kms:region:123456789012:alias/MyAliasName

    • ARN chiave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID chiave univoco a livello globale: 12345678-1234-1234-1234-123456789012

  5. Seleziona Salvataggio delle modifiche.

    Nota

    Se la chiave KMS selezionata è disabilitata o è in attesa di eliminazione, non puoi salvare la configurazione delil datastore di eventi con tale chiave KMS. Puoi abilitare la chiave KMS o sceglierne una diversa. Per ulteriori informazioni, consulta Key state: Effect on your KMS key nella Guida per gli sviluppatori di AWS Key Management Service .