本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS
描述
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS 运行手册使用您指定的 AWS Key Management Service (AWS KMS) 客户托管密钥加密一个 AWS CloudTrail (CloudTrail) 跟踪。此运行手册应仅用作基准,以确保您的 CloudTrail 跟踪按照建议的最低安全最佳实践进行加密。我们建议使用不同的 KMS 密钥加密多个跟踪。CloudTrail 摘要文件未加密。如果您之前已将跟踪的 EnableLogFileValidation 参数设置为 true,则参阅AWS CloudTrail《用户指南》中 CloudTrail 预防性安全最佳实践主题中的“使用 AWS KMS 托管密钥的服务器端加密”部分,了解更多信息。
文档类型
自动化
所有者
Amazon
平台
Linux、macOS、Windows
参数
-
AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
-
KMSKeyId
类型:字符串
描述:(必需)您要用于加密您在
TrailName参数中指定的跟踪的客户托管密钥的 ARN、密钥 ID 或密钥别名。 -
TrailName
类型:字符串
描述:(必需)要升级加密的跟踪的 ARN 或名称。
所需的 IAM 权限
AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
cloudtrail:GetTrail -
cloudtrail:UpdateTrail
文档步骤
-
aws:executeAwsApi- 对您在TrailName参数中指定的跟踪启用加密。 -
aws:executeAwsApi- 收集KMSKeyId参数中指定的客户托管密钥的 ARN。 -
aws:assertAwsResourceProperty- 验证是否已在 CloudTrail 跟踪上启用加密。
