更新资源以在控制台中使用您的KMS密钥 - AWS CloudTrail
更新跟踪以使用密KMS钥更新事件数据存储以使用密KMS钥

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新资源以在控制台中使用您的KMS密钥

在 AWS CloudTrail 控制台中,更新跟踪或事件数据存储以使用密 AWS Key Management Service 钥。请注意,使用自己的KMS密钥会产生加密和解密的 AWS KMS 费用。有关更多信息,请参阅AWS Key Management Service 定价

更新跟踪以使用密KMS钥

要更新跟踪以使用您修改过的 CloudTrail,请在 CloudTrail 控制台中完成以下步骤。 AWS KMS key

注意

使用以下过程更新跟踪会加密日志文件,但不会使用 SSE-KMS 加密摘要文件。摘要文件使用亚马逊 S3 托管的加密密钥 (SSE-S3) 进行加密。

如果您使用带有 S3 存储桶密钥的现有 S3 存储桶,则 CloudTrail 必须获得密钥策略中的许可才能使用 AWS KMS 操作GenerateDataKeyDescribeKey。如果未在密钥策略中授予 cloudtrail.amazonaws.com 这些权限,则无法创建或更新跟踪。

要使用更新跟踪 AWS CLI,请参阅使用启用和禁用 CloudTrail 日志文件加密 AWS CLI

更新跟踪以使用您的KMS密钥

  1. 登录 AWS Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 选择 Trails(跟踪记录),然后选择跟踪记录名称。

  3. General details(一般详细信息)中,选择 Edit(编辑)。

  4. 对于日志文件 SSE-KMS 加密,如果您要使用 SSE-加密而不是 SSE-S3 加密来KMS加密日志文件,请选择启用。默认值为 Enabled(已启用)。如果您未启用 SSE-KMS 加密,则您的日志将使用 SSE-S3 加密进行加密。有关 SSE-KMS 加密的更多信息,请参阅通过 AWS Key Management Service (SSE-KMS) 使用服务器端加密。有关 SSE-S3 加密的更多信息,请参阅对 Ama zon S3 托管加密密钥 (-S3) 使用服务器端加密。SSE

    选择 Existing(现有)以使用 AWS KMS key更新您的跟踪。选择一个与接收您的日志文件的 S3 存储桶位于同一区域的KMS密钥。要验证 S3 存储桶的区域,请在 S3 控制台中查看其属性。

    注意

    您也可以键入其他账户ARN的密钥。有关更多信息,请参阅 更新资源以在控制台中使用您的KMS密钥。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥政策的信息,请参阅为以下各项配置 AWS KMS 密钥策略 CloudTrail

    AWS KMS Alia s 中,指定您更改策略以供使用的别名 CloudTrail,格式为 alias/MyAliasName有关更多信息,请参阅更新资源以在控制台中使用您的KMS密钥

    您可以键入别名或全局唯一的密钥 ID。ARN如果KMS密钥属于其他账户,请验证密钥策略是否具有允许您使用该密钥的权限。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择 Update trail(更新跟踪)。

    注意

    如果您选择的KMS密钥已禁用或待删除,则无法使用该KMS密钥保存跟踪。您可以启用该KMS密钥或选择其他密钥。有关更多信息,请参阅《AWS Key Management Service 开发者指南》中的KMS密钥状态:对密钥的影响

更新事件数据存储以使用密KMS钥

要更新事件数据存储以使用您修改过的 CloudTrail,请在 CloudTrail 控制台中完成以下步骤。 AWS KMS key

要使用更新事件数据存储 AWS CLI,请参阅使用更新事件数据存储 AWS CLI

重要

禁用或删除KMS密钥或删除密钥 CloudTrail 权限可以 CloudTrail 防止将事件提取到事件数据存储中,并阻止用户查询使用密钥加密的事件数据存储中的数据。将事件数据存储与KMS密钥关联后,该密KMS钥将无法移除或更改。在禁用或删除用于事件数据存储的KMS密钥之前,请删除或备份您的事件数据存储。

更新事件数据存储以使用您的KMS密钥

  1. 登录 AWS Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,选择 Lake 中的 Event data stores(事件数据存储)。选择要更新的事件数据存储。

  3. General details(一般详细信息)中,选择 Edit(编辑)。

  4. 对于加密,如果尚未启用,请选择使用我自己的 AWS KMS key密钥使用自己的KMS密钥加密日志文件。

    选择 “现有”,使用您的KMS密钥更新您的事件数据存储。选择与事件数据存储位于同一区域的KMS密钥。不支持来自其他账户的密钥。

    Enter AWS KMS Alias 中,按以下格式指定您更改策略以供使用的别名 CloudTrail alias/MyAliasName有关更多信息,请参阅更新资源以在控制台中使用您的KMS密钥

    您可以选择别名,也可以使用全局唯一的密钥 ID。值可以是以下格式之一:

    • 别名alias/MyAliasName

    • 别名 ARNarn:aws:kms:region:123456789012:alias/MyAliasName

    • 密钥 ARNarn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • 全局唯一密钥 ID12345678-1234-1234-1234-123456789012

  5. 选择保存更改

    注意

    如果您选择的KMS密钥已禁用或待删除,则无法使用该KMS密钥保存事件数据存储配置。您可以启用该KMS密钥,也可以选择其他密钥。有关更多信息,请参阅《AWS Key Management Service 开发者指南》中的KMS密钥状态:对密钥的影响