As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitar e desabilitar a criptografia de arquivos de log do CloudTrail com a AWS CLI
Este tópico descreve como habilitar e desabilitar a criptografia de arquivos de log SSE-KMS do CloudTrail usando a AWS CLI. Para obter informações básicas, consulte Criptografando arquivos de CloudTrail log com AWS KMS chaves (SSE-KMS).
Tópicos
Habilitar a criptografia de arquivos de log do CloudTrail usando a AWS CLI
Habilitar a criptografia de arquivo de log para uma trilha
-
Crie uma chave com a AWS CLI. A chave criada deverá estar na mesma região que o bucket do S3 que recebe seus arquivos de log do CloudTrail. Para esta etapa, use o comando create-key do AWS KMS.
-
Obtenha a política de chaves existente para que você possa modificá-la para utilização com o CloudTrail. Você pode recuperar a política de chaves com o comando get-key-policy do AWS KMS.
-
Adicione as seções necessárias à política de chaves para que o CloudTrail possa criptografar e os usuários possam descriptografar seus arquivos de log. Garanta que todos os usuários que lerão os arquivos de log tenham recebido permissões de descriptografia. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
-
Anexe o arquivo JSON modificado de política à chave usando o comando put-key-policy do AWS KMS.
-
Execute o comando do CloudTrail
create-trailouupdate-trailcom o parâmetro--kms-key-id. Esse comando habilitará a criptografia de log.aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKeyO parâmetro
--kms-key-idespecifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes formatos:-
Nome do alias. Exemplo:
alias/MyAliasName -
Nome de região da Amazon (ARN) do alias. Exemplo:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
Nome de região da Amazon (ARN) da chave. Exemplo:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012 -
ID de chave globalmente exclusivo. Exemplo:
12345678-1234-1234-1234-123456789012
Esta é uma resposta de exemplo:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "my-bucket-name" }A presença do elemento
KmsKeyIdindica que a criptografia do arquivo de log foi ativada. Os arquivos criptografados de log devem aparecer no seu bucket em aproximadamente 5 minutos. -
Habilitar a criptografia de arquivo de log para um armazenamento de dados de eventos
-
Crie uma chave com a AWS CLI. A chave que você cria precisa estar na mesma região do armazenamento de dados de eventos. Para esta etapa, execute o comando create-key do AWS KMS.
-
Obtenha a política de chaves existente a fim de editá-la para uso com o CloudTrail. Você pode obter a política de chaves executando o comando get-key-policy do AWS KMS.
-
Adicione as seções necessárias à política de chaves para que o CloudTrail possa criptografar e os usuários possam descriptografar seus arquivos de log. Garanta que todos os usuários que lerão os arquivos de log tenham recebido permissões de descriptografia. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
-
Anexe o arquivo JSON editado de política à chave executando o comando put-key-policy do AWS KMS.
-
Execute o comando
create-event-data-storeouupdate-event-data-storedo CloudTrail e adicione o parâmetro--kms-key-id. Esse comando habilitará a criptografia de log.aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKeyO parâmetro
--kms-key-idespecifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes quatro formatos:-
Nome do alias. Exemplo:
alias/MyAliasName -
Nome de região da Amazon (ARN) do alias. Exemplo:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
Nome de região da Amazon (ARN) da chave. Exemplo:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 -
ID de chave globalmente exclusivo. Exemplo:
12345678-1234-1234-1234-123456789012
Esta é uma resposta de exemplo:
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }A presença do elemento
KmsKeyIdindica que a criptografia do arquivo de log foi ativada. Os arquivos criptografados de log devem aparecer no seu armazenamento de dados de eventos em aproximadamente 5 minutos. -
Desabilitar a criptografia de arquivos de log do CloudTrail usando a AWS CLI
Para interromper a criptografia dos logs em uma trilha, execute update-trail e transmita uma string vazia ao parâmetro kms-key-id:
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
Esta é uma resposta de exemplo:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "my-bucket-name" }
A ausência do valor KmsKeyId indica que a criptografia do arquivo de log não está mais ativada.
Importante
Você não pode interromper a criptografia do arquivo de log em um armazenamento de dados de eventos.
