Aggiornamento di una risorsa per utilizzare la KMS chiave con la console - AWS CloudTrail
Aggiorna un percorso per utilizzare una chiave KMSAggiorna un archivio dati di eventi per utilizzare una KMS chiave

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento di una risorsa per utilizzare la KMS chiave con la console

Nella AWS CloudTrail console, aggiorna un percorso o un archivio dati di eventi per utilizzare una AWS Key Management Service chiave. Tieni presente che l'utilizzo della tua KMS chiave comporta AWS KMS costi di crittografia e decrittografia. Per ulteriori informazioni, consulta la sezione Prezzi di AWS Key Management Service.

Aggiorna un percorso per utilizzare una chiave KMS

Per aggiornare un percorso da utilizzare per AWS KMS key cui lo hai modificato CloudTrail, completa i seguenti passaggi nella CloudTrail console.

Nota

L'aggiornamento di un percorso con la seguente procedura crittografa i file di registro ma non i file digest con SSE -. KMS I file Digest sono crittografati con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Se utilizzi un bucket S3 esistente con una chiave S3 Bucket, CloudTrail devi disporre dell'autorizzazione nella policy chiave per utilizzare le azioni e. AWS KMS GenerateDataKey DescribeKey Se a cloudtrail.amazonaws.com non sono concesse tali autorizzazioni nella policy della chiave, non puoi creare o aggiornare un percorso.

Per aggiornare un percorso utilizzando il, consulta. AWS CLIAttivazione e disabilitazione della crittografia dei file di CloudTrail registro con AWS CLI

Per aggiornare un percorso per utilizzare la tua KMS chiave

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Scegli Trails (Percorsi) e quindi un nome del percorso.

  3. In General details (Dettagli generali), scegli Edit (Modifica).

  4. Per Log file SSE - KMS encryption, scegli Enabled se desideri crittografare i tuoi file di log usando SSE - KMS encryption invece di SSE -S3. L'impostazione predefinita è Enabled (Abilitata). Se non SSE abiliti la KMS crittografia, i log vengono crittografati utilizzando la crittografia -S3. SSE Per ulteriori informazioni su SSE - KMS encryption, consulta Usare la crittografia lato server con (-). AWS Key Management Service SSE KMS Per ulteriori informazioni sulla crittografia SSE -S3, consulta Using Server-Side Encryption with Amazon S3 Managed Encryption Keys (-S3). SSE

    Sceglie Existing (Esistente) per aggiornare il tuo percorso con la tua AWS KMS key. Scegli una KMS chiave che si trovi nella stessa regione del bucket S3 che riceve i tuoi file di registro. Per verificare la Regione per un bucket S3, visualizza le relative proprietà nella console S3.

    Nota

    Puoi anche digitare una chiave da un altro account. ARN Per ulteriori informazioni, consulta Aggiornamento di una risorsa per utilizzare la KMS chiave con la console. La politica chiave deve consentire di CloudTrail utilizzare la chiave per crittografare i file di registro e consentire agli utenti specificati di leggere i file di registro in formato non crittografato. Per informazioni sulla modifica manuale della policy della chiave, consulta Configurare le politiche AWS KMS chiave per CloudTrail.

    In AWS KMS Alias, specifica l'alias per il quale hai modificato la politica da utilizzare, nel formato CloudTrail alias/MyAliasNamePer ulteriori informazioni, consulta Aggiornamento di una risorsa per utilizzare la KMS chiave con la console..

    È possibile digitare il nome dell'alias o l'ID ARN chiave univoco a livello globale. Se la KMS chiave appartiene a un altro account, verifica che la politica della chiave disponga delle autorizzazioni che ti consentano di utilizzarla. Il formato del valore può essere uno dei seguenti:

    • Nome alias: alias/MyAliasName

    • Pseudonimo: ARN arn:aws:kms:region:123456789012:alias/MyAliasName

    • Chiave: ARN arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID chiave univoco a livello globale: 12345678-1234-1234-1234-123456789012

  5. Scegli Update trail (Aggiorna percorso).

    Nota

    Se la KMS chiave che hai scelto è disabilitata o è in attesa di eliminazione, non puoi salvare la traccia con quella KMS chiave. Puoi abilitare la KMS chiave o sceglierne un'altra. Per ulteriori informazioni, consulta Key state: Effect on your KMS key nella AWS Key Management Service Developer Guide.

Aggiorna un archivio dati di eventi per utilizzare una KMS chiave

Per aggiornare un Event Data Store per utilizzare AWS KMS key quello per cui lo hai modificato CloudTrail, completa i seguenti passaggi nella CloudTrail console.

Per aggiornare un Event Data Store utilizzando il AWS CLI, vedereAggiornate un archivio dati di eventi con AWS CLI.

Importante

La disabilitazione o l'eliminazione della KMS chiave o la rimozione CloudTrail delle autorizzazioni sulla chiave CloudTrail impedisce l'acquisizione di eventi nell'archivio dati degli eventi e impedisce agli utenti di interrogare i dati nell'archivio dati degli eventi che è stato crittografato con la chiave. Dopo aver associato un Event Data Store a una KMS chiave, la chiave non può essere rimossa o modificataKMS. Prima di disabilitare o eliminare una KMS chiave che stai utilizzando con un Event Data Store, elimina o esegui il backup del tuo Event Data Store.

Per aggiornare un event data store per utilizzare la tua KMS chiave

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, seleziona Event data stores (Archivi dati di eventi) in Lake. Scegli un datastore di eventi da aggiornare.

  3. In General details (Dettagli generali), scegli Edit (Modifica).

  4. Per la crittografia, se non è già abilitata, scegli Usa la mia AWS KMS key per crittografare i tuoi file di registro con la tua KMS chiave.

    Scegli Esistente per aggiornare l'archivio dati degli eventi con la tua KMS chiave. Scegli una KMS chiave che si trova nella stessa regione del data store degli eventi. Una chiave di un altro account non è supportata.

    In Inserisci AWS KMS alias, specifica l'alias per il quale hai modificato la politica da utilizzare CloudTrail, nel formato alias/MyAliasNamePer ulteriori informazioni, consulta Aggiornamento di una risorsa per utilizzare la KMS chiave con la console..

    Puoi scegliere un alias o utilizzare l'ID chiave univoco globale. Il formato del valore può essere uno dei seguenti:

    • Nome alias: alias/MyAliasName

    • Alias: ARN arn:aws:kms:region:123456789012:alias/MyAliasName

    • Chiave: ARN arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID chiave univoco a livello globale: 12345678-1234-1234-1234-123456789012

  5. Seleziona Salvataggio delle modifiche.

    Nota

    Se la KMS chiave scelta è disabilitata o è in attesa di eliminazione, non è possibile salvare la configurazione dell'Event Data Store con quella KMS chiave. È possibile abilitare la KMS chiave o sceglierne una diversa. Per ulteriori informazioni, consulta Key state: Effect on your KMS key nella AWS Key Management Service Developer Guide.