AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS

Descrizione

Il AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS runbook crittografa un percorso AWS CloudTrail (CloudTrail) utilizzando la chiave AWS Key Management Service (AWS KMS) gestita dal cliente che hai specificato. Questo runbook deve essere utilizzato solo come base per garantire che i CloudTrail percorsi siano crittografati secondo le migliori pratiche di sicurezza minime consigliate. Ti consigliamo di crittografare più percorsi con chiavi KMS diverse. CloudTraili file digest non sono crittografati. Se in precedenza hai impostato il EnableLogFileValidation parametro su true per il percorso, consulta la sezione «Utilizza la crittografia lato server con chiavi AWS KMS gestite» dell'argomento CloudTrailPreventative Security Best Practices nella Guida per l'AWS CloudTrailutente per ulteriori informazioni.

Esegui questa automazione (console)

Tipo di documento

Automazione di

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Obbligatorio) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto.

  • KM KeyId

    Tipo: String

    Descrizione: (Obbligatorio) L'ARN, l'ID chiave o l'alias chiave della chiave gestita dal cliente che desideri utilizzare per crittografare il percorso specificato nel parametro. TrailName

  • TrailName

    Tipo: String

    Descrizione: (Obbligatorio) L'ARN o il nome del percorso che desideri aggiornare devono essere crittografati.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • cloudtrail:GetTrail

  • cloudtrail:UpdateTrail

Fasi del documento

  • aws:executeAwsApi- Abilita la crittografia sul percorso specificato nel TrailName parametro.

  • aws:executeAwsApi- Raccoglie l'ARN per la chiave gestita dal cliente specificata nel KMSKeyId parametro.

  • aws:assertAwsResourceProperty- Verifica che la crittografia sia stata abilitata sul CloudTrail percorso.