AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS

Descrição

O runbook AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS criptografa uma trilha do AWS CloudTrail (CloudTrail) usando a chave gerenciada pelo cliente AWS Key Management Service (AWS KMS) que você especifica. Esse runbook só deve ser usado como uma linha de base para garantir que suas trilhas do CloudTrail sejam criptografadas de acordo com as melhores práticas de segurança mínimas recomendadas. Recomendamos criptografar várias trilhas com chaves KMS diferentes. Os arquivos de resumo do CloudTrail não são criptografados. Se você já definiu o parâmetro EnableLogFileValidation para true para a trilha, consulte a seção “Usar criptografia do lado do servidor com chaves AWS KMS gerenciadas” do tópico Melhores práticas de segurança preventiva do CloudTrail no AWS CloudTrail Guia do usuário para obter mais informações.

Execute esta automação (console)

Tipo de documento

Automation

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: sequência

    Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.

  • KMSKeyId

    Tipo: sequência

    Descrição: (obrigatório) O ARN, o ID da chave ou o alias da chave gerenciada pelo cliente que você deseja usar para criptografar a trilha especificada no parâmetro TrailName.

  • TrailName

    Tipo: sequência

    Descrição: (obrigatório) o ARN ou o nome da trilha que você deseja atualizar para ser criptografada.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • cloudtrail:GetTrail

  • cloudtrail:UpdateTrail

Etapas do documento

  • aws:executeAwsApi: ativa a criptografia na trilha que você especifica no parâmetro TrailName.

  • aws:executeAwsApi: reúne o ARN da chave gerenciada pelo cliente que você especifica no parâmetro KMSKeyId.

  • aws:assertAwsResourceProperty: verifica se a criptografia foi ativada na trilha do CloudTrail.