Atualizar um recurso para usar sua KMS chave com o console - AWS CloudTrail
Atualize uma trilha para usar uma KMS chaveAtualizar um armazenamento de dados de eventos para usar uma KMS chave

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizar um recurso para usar sua KMS chave com o console

No AWS CloudTrail console, atualize uma trilha ou um armazenamento de dados de eventos para usar uma AWS Key Management Service chave. Esteja ciente de que o uso de sua própria KMS chave gera AWS KMS custos de criptografia e decodificação. Para obter mais informações, consulte Preços do AWS Key Management Service.

Atualize uma trilha para usar uma KMS chave

Para atualizar uma trilha para usar a AWS KMS key que você modificou CloudTrail, conclua as etapas a seguir no CloudTrail console.

nota

A atualização de uma trilha com o procedimento a seguir criptografa os arquivos de log, mas não os arquivos de resumo com SSE -. KMS Os arquivos Digest são criptografados com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Se você estiver usando um bucket do S3 existente com uma chave do bucket do S3, CloudTrail deverá ter permissão na política de chaves para usar as AWS KMS ações e. GenerateDataKey DescribeKey Se o cloudtrail.amazonaws.com não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.

Para atualizar uma trilha usando o AWS CLI, consulteAtivando e desativando a criptografia do arquivo de CloudTrail log com o AWS CLI.

Para atualizar uma trilha para usar sua KMS chave

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. Escolha Trails (Trilhas) e depois escolha um nome para a trilha.

  3. Em General details (Detalhes gerais), escolha Edit (Editar).

  4. Em Arquivo de log SSE - KMS criptografia, escolha Ativado se quiser criptografar seus arquivos de log usando SSE - KMS criptografia em vez de criptografia SSE -S3. O padrão é Enabled (Habilitado). Se você não ativar a KMS criptografia SSE -, seus registros serão criptografados usando a criptografia SSE -S3. Para obter mais informações sobre SSE - KMS criptografia, consulte Usando criptografia do lado do servidor com AWS Key Management Service (SSE-). KMS Para obter mais informações sobre a criptografia SSE -S3, consulte Uso da criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (-S3). SSE

    Selecione Existing (Existente) para atualizar a trilha com a AWS KMS key. Escolha uma KMS chave que esteja na mesma região do bucket do S3 que recebe seus arquivos de log. Para verificar a região de um bucket do S3, examine as respectivas propriedades no console do S3.

    nota

    Você também pode digitar a ARN chave de outra conta. Para ter mais informações, consulte Atualizar um recurso para usar sua KMS chave com o console. A política de chaves deve permitir CloudTrail o uso da chave para criptografar seus arquivos de log e permitir que os usuários que você especificar leiam os arquivos de log em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as AWS KMS principais políticas para CloudTrail.

    Em AWS KMS Alias, especifique o alias para o qual você alterou a política para uso com CloudTrail, no formato alias/MyAliasNamePara obter mais informações, consulte Atualizar um recurso para usar sua KMS chave com o console.

    Você pode digitar o nome do alias ou a ID da chave global exclusiva. ARN Se a KMS chave pertencer a outra conta, verifique se a política de chaves tem permissões que permitem que você a use. O valor pode ser um dos seguintes formatos:

    • Nome do alias: alias/MyAliasName

    • Pseudônimo ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Chave ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de chave globalmente exclusivo: 12345678-1234-1234-1234-123456789012

  5. Escolha Update Trail (Atualizar trilha).

    nota

    Se a KMS chave escolhida estiver desativada ou estiver pendente de exclusão, você não poderá salvar a trilha com essa KMS chave. Você pode ativar a KMS chave ou escolher outra. Para obter mais informações, consulte Estado da chave: efeito na sua KMS chave no Guia do AWS Key Management Service desenvolvedor.

Atualizar um armazenamento de dados de eventos para usar uma KMS chave

Para atualizar um armazenamento de dados de eventos para usar o AWS KMS key que você modificou CloudTrail, conclua as etapas a seguir no CloudTrail console.

Para atualizar um armazenamento de dados de eventos usando o AWS CLI, consulteAtualize um armazenamento de dados de eventos com o AWS CLI.

Importante

Desabilitar ou excluir a KMS chave, ou remover CloudTrail permissões na chave, CloudTrail impede a ingestão de eventos no armazenamento de dados de eventos e impede que os usuários consultem dados no armazenamento de dados de eventos que foram criptografados com a chave. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada. Antes de desativar ou excluir uma KMS chave que você está usando com um armazenamento de dados de eventos, exclua ou faça backup do seu armazenamento de dados de eventos.

Para atualizar um armazenamento de dados de eventos para usar sua KMS chave

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, escolha Event data stores (Armazenamentos de dados de eventos) em Lake. Escolha um armazenamento de dados de eventos para atualizar.

  3. Em General details (Detalhes gerais), escolha Edit (Editar).

  4. Em Criptografia, se ainda não estiver habilitada, escolha Usar minha própria AWS KMS key para criptografar seus arquivos de log com sua própria KMS chave.

    Escolha Existente para atualizar seu armazenamento de dados de eventos com sua KMS chave. Escolha uma KMS chave que esteja na mesma região do armazenamento de dados do evento. Não há compatibilidade com uma chave de outra conta.

    Em Inserir AWS KMS Alias, especifique o alias para o qual você alterou a política para uso com CloudTrail, no formato alias/MyAliasNamePara obter mais informações, consulte Atualizar um recurso para usar sua KMS chave com o console.

    Você pode escolher um alias ou usar o ID de chave global exclusivo. O valor pode ser um dos seguintes formatos:

    • Nome do alias: alias/MyAliasName

    • Pseudônimo ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Chave ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de chave globalmente exclusivo: 12345678-1234-1234-1234-123456789012

  5. Escolha Salvar alterações.

    nota

    Se a KMS chave escolhida estiver desativada ou estiver pendente de exclusão, você não poderá salvar a configuração do armazenamento de dados do evento com essa KMS chave. Você pode ativar a KMS chave ou escolher uma chave diferente. Para obter mais informações, consulte Estado da chave: efeito na sua KMS chave no Guia do AWS Key Management Service desenvolvedor.