콘솔에서 KMS 키를 사용하도록 리소스 업데이트

AWS CloudTrail 콘솔에서 AWS Key Management Service 키를 사용하도록 트레일 또는 이벤트 데이터 저장소를 업데이트하십시오. 자체 KMS 키를 사용하면 암호화 및 복호화에 AWS KMS 비용이 발생한다는 점에 유의하세요. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

키를 사용하도록 트레일을 업데이트하세요. KMS

수정한 용도로 트레일을 업데이트하려면 CloudTrail 콘솔에서 다음 단계를 완료하세요. AWS KMS key CloudTrail

참고

다음 절차에 따라 트레일을 업데이트하면 로그 파일은 암호화되지만 -를 사용하여 SSE 다이제스트 파일은 암호화되지 않습니다. KMS 다이제스트 파일은 Amazon S3에서 관리하는 암호화 키 (SSE-S3) 로 암호화됩니다.

S3 버킷 키와 함께 기존 S3 버킷을 사용하는 경우 키 정책에서 작업 및 을 사용할 수 있는 권한이 CloudTrail 허용되어야 합니다. AWS KMS GenerateDataKey DescribeKey 키 정책에서 이러한 권한이 cloudtrail.amazonaws.com에 부여되지 않은 경우 추적을 생성하거나 업데이트할 수 없습니다.

를 사용하여 트레일을 AWS CLI업데이트하려면 을 참조하십시오를 사용하여 CloudTrail 로그 파일 암호화를 활성화 및 비활성화합니다. AWS CLI.

KMS키를 사용하도록 트레일을 업데이트하려면

1. 에서 AWS Management Console 로그인하고 CloudTrail 콘솔을 엽니다 https://console.aws.amazon.com/cloudtrail/.

2. [추적(Trails)]을 선택한 다음, 추적 이름을 선택합니다.

3. [일반 세부 정보(General details)]에서 [편집(Edit)]을 선택합니다.

4. 로그 파일 SSE - KMS 암호화의 경우 SSE -S3 KMS 암호화 대신 SSE - 암호화를 사용하여 로그 파일을 암호화하려면 활성화를 선택합니다. 기본값은 [사용(Enabled)]입니다. SSE- KMS 암호화를 활성화하지 않으면 SSE -S3 암호화를 사용하여 로그가 암호화됩니다. - KMS 암호화에 대한 자세한 내용은 AWS Key Management Service (SSESSE-) 를 사용한 서버 측 암호화 사용을 참조하십시오. KMS SSE-S3 암호화에 대한 자세한 내용은 Amazon S3 관리형 암호화 키 (-S3) 를 사용한 서버 측 암호화 사용을 참조하십시오. SSE

   [기존(Existing)]을 선택하여 AWS KMS key를 사용한 추적을 업데이트합니다. 로그 파일을 수신하는 S3 버킷과 동일한 지역에 있는 KMS 키를 선택하십시오. S3 버킷에 대한 리전을 검증하려면, S3 콘솔의 속성을 확인하세요.

   참고

   다른 ARN 계정의 키를 입력할 수도 있습니다. 자세한 내용은 콘솔에서 KMS 키를 사용하도록 리소스 업데이트 단원을 참조하십시오. 키 정책은 키를 CloudTrail 사용하여 로그 파일을 암호화하고 지정한 사용자가 암호화되지 않은 형식으로 로그 파일을 읽을 수 있도록 허용해야 합니다. 키 정책의 수동 편집에 대한 자세한 내용은 에 대한 AWS KMS 주요 정책 구성 CloudTrail을 참조하세요.

   AWS KMS Alias에서 함께 CloudTrail 사용하기 위해 정책을 변경한 별칭을 다음 형식으로 지정합니다. alias/ MyAliasName. 자세한 내용은 을 참조하십시오콘솔에서 KMS 키를 사용하도록 리소스 업데이트.

   별칭 이름 또는 전체적으로 고유한 키 ID를 입력할 수 있습니다. ARN KMS키가 다른 계정에 속하는 경우 키 정책에 해당 키를 사용할 수 있는 권한이 있는지 확인하십시오. 값은 다음 형식 중 하나일 수 있습니다.

   • 별칭 이름: alias/MyAliasName

   • 별칭 ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

   • 키 ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

   • 전역적으로 고유한 키 ID: 12345678-1234-1234-1234-123456789012

5. [추적 업데이트(Update trail)]를 선택합니다.

   참고

   선택한 KMS 키가 비활성화되었거나 삭제 대기 중인 경우 해당 KMS 키로 트레일을 저장할 수 없습니다. 키를 활성화하거나 다른 KMS 키를 선택할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 상태: KMS 키에 미치는 영향을 참조하십시오.

KMS키를 사용하도록 이벤트 데이터 저장소를 업데이트하십시오.

수정한 용도를 사용하도록 이벤트 데이터 저장소를 업데이트하려면 CloudTrail 콘솔에서 다음 단계를 완료하십시오. AWS KMS key CloudTrail

를 사용하여 이벤트 데이터 저장소를 AWS CLI업데이트하려면 을 참조하십시오다음을 사용하여 이벤트 데이터 저장소를 업데이트하십시오. AWS CLI.

중요

KMS키를 비활성화 또는 삭제하거나 키에 대한 CloudTrail 권한을 제거하면 이벤트를 이벤트 데이터 저장소에 수집할 수 없으며 사용자가 키로 암호화된 이벤트 데이터 저장소의 데이터를 쿼리할 수 없게 됩니다. CloudTrail 이벤트 데이터 저장소를 키와 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다. KMS 이벤트 데이터 저장소에서 사용 중인 KMS 키를 비활성화하거나 삭제하기 전에 먼저 이벤트 데이터 저장소를 삭제하거나 백업하십시오.

KMS키를 사용하도록 이벤트 데이터 저장소를 업데이트하려면

1. 에서 AWS Management Console 로그인하고 CloudTrail 콘솔을 여십시오 https://console.aws.amazon.com/cloudtrail/.

2. 탐색 창에서 Lake의 Event data stores(이벤트 데이터 스토어)를 선택합니다. 업데이트할 이벤트 데이터 스토어를 선택합니다.

3. [일반 세부 정보(General details)]에서 [편집(Edit)]을 선택합니다.

4. 암호화의 경우 아직 활성화되지 않은 경우 [Use my own] AWS KMS key을 선택하여 사용자 고유의 KMS 키로 로그 파일을 암호화하십시오.

   Existing을 선택하여 이벤트 데이터 저장소를 KMS 키로 업데이트하십시오. 이벤트 데이터 스토어와 동일한 지역에 있는 KMS 키를 선택합니다. 다른 계정의 키는 지원하지 않습니다.

   AWS KMS 별칭 입력에서 사용할 정책을 변경한 별칭을 다음 형식으로 지정합니다. CloudTrail alias/ MyAliasName. 자세한 내용은 을 참조하십시오콘솔에서 KMS 키를 사용하도록 리소스 업데이트.

   별칭을 선택하거나 전역적 고유 키 ID를 사용할 수 있습니다. 값은 다음 형식 중 하나일 수 있습니다.

   • 별칭 이름: alias/MyAliasName

   • 별칭 ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

   • 키 ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

   • 전역적으로 고유한 키 ID: 12345678-1234-1234-1234-123456789012

5. Save changes(변경 사항 저장)를 선택합니다.

   참고

   선택한 KMS 키가 비활성화되었거나 삭제 대기 중인 경우 해당 KMS 키로 이벤트 데이터 저장소 구성을 저장할 수 없습니다. 키를 활성화하거나 다른 KMS 키를 선택할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 상태: KMS 키에 미치는 영향을 참조하십시오.