CMK を使用するために証跡を更新する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CMK を使用するために証跡を更新する

CloudTrail で変更したカスタマーマスタキー (CMK) を使用するために証跡を更新するには、CloudTrail コンソールで次の手順を完了します。

注記

以下の手順を使用して証跡を更新すると、ログファイルが暗号化されますが、SSE-KMS を使用したダイジェストファイルは暗号化されません。ダイジェストファイルは、Amazon S3 で管理された暗号化キー (SSE-S3) を使用して暗号化されます。

既存の S3 バケットをS3 バケットキーを使用する場合、CloudTrail はキーポリシーでAWS KMSのアクションGenerateDataKeyおよびDescribeKey。もしcloudtrail.amazonaws.comにキーポリシーでこれらのアクセス許可が付与されていない場合、証跡を作成または更新することはできません。

AWS CLI を使用して証跡を更新するには、「CloudTrail ログファイルの暗号化の有効と無効を切り替えるAWS CLI」を参照してください。

CMK を使用するために証跡を更新するには

  1. にサインインします。AWS Management Consoleにアクセスして、CloudTrail コンソールをhttps://console.aws.amazon.com/cloudtrail/

  2. 選択証跡[] をクリックし、証跡名を選択します。

  3. Eclipse全般の詳細] で、編集

  4. を使用する場合SSE-KMS ログファイルの暗号化で、まだ有効になっていない場合は、[Enabled (有効)]を使用して SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化するようにします。デフォルトは です。[Enabled (有効)]。この暗号化の種類の詳細については、Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護

    選択既存でトレイルを更新するにはAWS KMSカスタマーマスターキー ログファイルを受け取る S3 バケットと同じリージョンにある CMK を選択します。S3 バケットのリージョンを確認するには、S3 コンソールでそのプロパティを確認します。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「CMK を使用するために証跡を更新する」を参照してください。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、設定AWS KMSCloudTrail の重要なポリシー を参照してください。

    EclipseAWS KMSエイリアスで、CloudTrail で使用するポリシーを変更したエイリアスをalias/MyAliasName。詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    エイリアス名、ARN、グローバルに一意のキー ID を入力できます。CMK が、別のアカウントに属している場合は、そのキーポリシーに使用可能なアクセス権限があることを確認します。値は、以下の形式のいずれかになります。

    • エイリアス名: alias/MyAliasName

    • エイリアス ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • キー ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • グローバルに一意のキー ID: 12345678-1234-1234-1234-123456789012

  5. 選択証跡を更新

    注記

    選択した CMK が無効になっているか、削除が保留されている場合は、その CMK で証跡を保存することはできません。CMK を有効にするか、別の CMK を選択できます。詳細については、「」を参照してください。キーステータスがカスタマーマスターキーの使用に与える影響()AWS Key Management Service開発者ガイド