KMS 키를 사용하도록 리소스 업데이트 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMS 키를 사용하도록 리소스 업데이트

AWS CloudTrail 콘솔에서 AWS Key Management Service 키를 사용하도록 트레일 또는 이벤트 데이터 스토어를 업데이트하십시오. 자체 KMS 키를 사용하면 암호화 및 복호화에 AWS KMS 비용이 발생한다는 점에 유의하세요. 자세한 내용은 AWS Key Management Service 요금을 참조하십시오.

KMS 키를 사용하도록 추적 업데이트

수정한 내용을 사용하도록 트레일을 업데이트하려면 콘솔에서 AWS KMS key 다음 단계를 완료하세요. CloudTrail CloudTrail

참고

다음 절차를 통해 추적을 업데이트하면 SSE-KMS를 사용하여 로그 파일이 암호화되지만 다이제스트 파일은 암호화되지 않습니다. 다이제스트 파일은 Amazon S3 관리형 암호화 키(SSE-S3)를 사용하여 암호화됩니다.

S3 버킷 키와 함께 기존 S3 버킷을 사용하는 경우 키 정책에서 AWS KMS 작업 GenerateDataKey 및 를 사용할 수 있는 권한이 CloudTrail 허용되어야 DescribeKey 합니다. 키 정책에서 이러한 권한이 cloudtrail.amazonaws.com에 부여되지 않은 경우 추적을 생성하거나 업데이트할 수 없습니다.

를 사용하여 트레일을 AWS CLI업데이트하려면 을 참조하십시오를 사용하여 CloudTrail 로그 파일 암호화를 활성화 및 비활성화합니다. AWS CLI.

KMS 키를 사용하도록 추적을 업데이트하려면
  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/cloudtrail/ 에서 CloudTrail 콘솔을 엽니다.

  2. [추적(Trails)]을 선택한 다음, 추적 이름을 선택합니다.

  3. [일반 세부 정보(General details)]에서 [편집(Edit)]을 선택합니다.

  4. SSE-S3 암호화 대신 SSE-KMS 암호화를 사용하여 로그 파일을 암호화하려면 Log file SSE-KMS encryption(로그 파일 SSE-KMS 암호화)에서 Enabled(사용)를 선택합니다. 기본값은 [사용(Enabled)]입니다. SSE-KMS 암호화를 사용하지 않으면 로그는 SSE-S3 암호화를 사용하여 암호화합니다. SSE-KMS 암호화에 대한 자세한 내용은 (SSE-KMS) 를 사용한 서버 측 암호화 사용을 참조하십시오. AWS Key Management Service SSE-S3 암호화에 대한 자세한 내용은 Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화 사용을 참조하세요.

    [기존(Existing)]을 선택하여 AWS KMS key를 사용한 추적을 업데이트합니다. 로그 파일을 수신하는 S3 버킷과 동일한 리전에 있는 KMS 키를 선택합니다. S3 버킷에 대한 리전을 검증하려면, S3 콘솔의 속성을 확인하세요.

    참고

    다른 계정에 있는 키의 ARN을 입력할 수도 있습니다. 자세한 정보는 KMS 키를 사용하도록 리소스 업데이트을 참조하세요. 키 정책은 키를 사용하여 로그 파일을 암호화할 수 CloudTrail 있도록 허용하고, 지정한 사용자는 암호화되지 않은 형식으로 로그 파일을 읽을 수 있도록 허용해야 합니다. 키 정책의 수동 편집에 대한 자세한 내용은 에 대한 AWS KMS 주요 정책 구성 CloudTrail을 참조하세요.

    AWS KMS Alias에서 함께 CloudTrail 사용하도록 정책을 변경한 별칭을 형식으로 지정합니다. alias/ MyAliasName 자세한 정보는 KMS 키를 사용하도록 리소스 업데이트을 참조하세요.

    별칭 이름, ARN 또는 전역적으로 고유한 키 ID를 입력할 수 있습니다. KMS 키가 다른 계정에 속한 경우 해당 키를 사용할 수 있는 권한이 키 정책에 있는지 확인합니다. 값은 다음 형식 중 하나일 수 있습니다.

    • 별칭 이름: alias/MyAliasName

    • 별칭 ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • 키 ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 전역적으로 고유한 키 ID: 12345678-1234-1234-1234-123456789012

  5. [추적 업데이트(Update trail)]를 선택합니다.

    참고

    선택한 KMS 키가 사용 중지되었거나 삭제 대기 중인 경우 해당 KMS 키를 사용한 추적을 저장할 수 없습니다. KMS 키를 사용 설정하거나 다른 KMS 키를 선택할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 가이드키 상태: KMS 키에 미치는 영향을 참조하세요.

KMS 키를 사용하도록 이벤트 데이터 스토어 업데이트

수정한 AWS KMS key 것을 사용하도록 이벤트 데이터 저장소를 업데이트하려면 CloudTrail 콘솔에서 다음 CloudTrail 단계를 완료하십시오.

를 사용하여 이벤트 데이터 저장소를 AWS CLI업데이트하려면 을 참조하십시오를 사용하여 이벤트 데이터 저장소를 업데이트하십시오. AWS CLI.

중요

KMS 키를 비활성화 또는 삭제하거나 키에 대한 CloudTrail 권한을 제거하면 이벤트가 이벤트 데이터 저장소에 수집되지 CloudTrail 않고 사용자가 키로 암호화된 이벤트 데이터 저장소의 데이터를 쿼리할 수 없게 됩니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다. 이벤트 데이터 스토어에 사용 중인 KMS 키를 사용하지 않거나 삭제하기 전에 이벤트 데이터 스토어를 삭제하거나 백업합니다.

KMS 키를 사용하도록 이벤트 데이터 스토어를 업데이트하려면
  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/cloudtrail/ 에서 콘솔을 엽니다. CloudTrail

  2. 탐색 창에서 LakeEvent data stores(이벤트 데이터 스토어)를 선택합니다. 업데이트할 이벤트 데이터 스토어를 선택합니다.

  3. [일반 세부 정보(General details)]에서 [편집(Edit)]을 선택합니다.

  4. Encryption(암호화)에서 아직 사용하지 않은 경우 Use my own AWS KMS key(자체 KMS 키 사용)를 선택하여 자체 KMS 키로 로그 파일을 암호화합니다.

    Existing(기존)을 선택하여 KMS 키로 이벤트 데이터 스토어를 업데이트합니다. 이벤트 데이터 스토어와 동일한 리전에 있는 KMS 키를 선택합니다. 다른 계정의 키는 지원하지 않습니다.

    [ AWS KMS 별칭 입력] 에서 사용할 정책을 변경한 별칭을 형식으로 CloudTrail 지정합니다. alias/ MyAliasName 자세한 정보는 KMS 키를 사용하도록 리소스 업데이트을 참조하세요.

    별칭을 선택하거나 전역적 고유 키 ID를 사용할 수 있습니다. 값은 다음 형식 중 하나일 수 있습니다.

    • 별칭 이름: alias/MyAliasName

    • 별칭 ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • 키 ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 전역적으로 고유한 키 ID: 12345678-1234-1234-1234-123456789012

  5. 변경 사항 저장을 선택합니다.

    참고

    선택한 KMS 키를 사용 중지되었거나 삭제 대기 중인 경우 해당 KMS 키를 사용한 이벤트 데이터 스토어 구성을 저장할 수 없습니다. KMS 키를 사용하거나 다른 키를 선택할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 가이드키 상태: KMS 키에 미치는 영향을 참조하세요.