本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 CloudTrail 主控台中,更新追蹤或事件資料存放區以使用 AWS Key Management Service 金鑰。請注意,使用您自己的KMS金鑰會產生加密和解密 AWS KMS 的成本。如需詳細資訊,請參閱 AWS Key Management Service
定價
更新線索以使用KMS金鑰
若要更新線索以使用您修改的 AWS KMS key CloudTrail,請在 CloudTrail 主控台中完成下列步驟。
注意
使用下列程序更新線索會加密日誌檔案,但不會使用 SSE- 來加密摘要檔案KMS。摘要檔案會使用 Amazon S3-managed加密金鑰 (SSE-S3) 進行加密。
如果您使用現有 S3 儲存貯體搭配 S3 儲存貯體金鑰, CloudTrail 則必須在金鑰政策中允許使用動作 AWS KMS GenerateDataKey和 的許可DescribeKey。如果 cloudtrail.amazonaws.com 未授與金鑰政策中的這些許可,則無法建立或更新追蹤。
若要使用 更新線索 AWS CLI,請參閱 啟用和停用 CloudTrail 記錄檔加密 AWS CLI。
更新線索以使用您的 KMS 金鑰
登入 AWS Management Console 並在 開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/
。 -
選擇 Trails (追蹤),然後選擇追蹤名稱。
-
在 General details (一般詳細資訊) 中,選擇 Edit (編輯)。
-
對於日誌檔案 SSE-KMS 加密,如果您想要使用 SSE-KMS 加密而非 SSE-S3 加密來加密日誌檔案,請選擇已啟用。預設為啟用。如果您未啟用 SSE- KMS加密,您的日誌會使用 SSE-S3 加密進行加密。如需 SSE-KMS 加密的詳細資訊,請參閱搭配 AWS Key Management Service (SSE-KMS) 使用伺服器端加密。如需 SSE-S3 加密的詳細資訊,請參閱搭配使用伺服器端加密與 Amazon S3-Managed加密金鑰 (SSE-S3)。
選擇 Existing (現有) 來使用 AWS KMS key更新您的追蹤。選擇與接收日誌檔案的 S3 儲存貯體位於相同區域的KMS金鑰。若要驗證 S3 儲存貯體的區域,請在 S3 主控台中檢視其屬性。
注意
您也可以輸入來自另一個帳戶的金鑰ARN的 。如需詳細資訊,請參閱更新資源以搭配 主控台使用您的KMS金鑰。金鑰政策必須允許 CloudTrail 使用金鑰來加密您的日誌檔案,並允許您指定的使用者以未加密的形式讀取日誌檔案。如需手動編輯金鑰政策的資訊,請參閱「設定 CloudTrail 的 AWS KMS 金鑰政策」。
在AWS KMS 別名中, CloudTrail以 格式指定您變更政策以搭配 使用的別名
alias/MyAliasName。如需詳細資訊,請參閱更新資源以搭配 主控台使用您的KMS金鑰。您可以輸入別名名稱、 ARN或全域唯一金鑰 ID。如果KMS金鑰屬於另一個帳戶,請確認金鑰政策具有允許您使用它的許可。此值的格式可為下列其中之一:
-
別名:
alias/MyAliasName -
別名: ARN
arn:aws:kms:region:123456789012:alias/MyAliasName -
索引鍵ARN:
arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012 -
全域唯一金鑰 ID:
12345678-1234-1234-1234-123456789012
-
-
選擇 Update trail (更新追蹤)。
注意
如果您選擇的KMS金鑰已停用或正在等待刪除,則無法使用該KMS金鑰儲存追蹤。您可以啟用金鑰或選擇另一個KMS金鑰。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的金鑰狀態:對KMS金鑰的影響。
更新事件資料存放區以使用KMS金鑰
若要更新事件資料存放區以使用您修改的 AWS KMS key CloudTrail,請在 CloudTrail 主控台中完成下列步驟。
若要使用 更新事件資料存放區 AWS CLI,請參閱 使用 更新事件資料存放區 AWS CLI。
重要
停用或刪除KMS金鑰,或移除金鑰上的 CloudTrail 許可, CloudTrail 可防止 將事件擷取到事件資料存放區,並防止使用者查詢使用金鑰加密的事件資料存放區中的資料。將事件資料存放區與KMS金鑰建立關聯後,就無法移除或變更KMS金鑰。在您停用或刪除與事件資料存放區搭配使用的KMS金鑰之前,請刪除或備份您的事件資料存放區。
更新事件資料存放區以使用您的KMS金鑰
登入 AWS Management Console 並在 開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/
。 -
在導覽窗格中,選擇 Lake 中的 Event data stores (事件資料存放區)。選擇事件資料存放區以進行更新。
-
在 General details (一般詳細資訊) 中,選擇 Edit (編輯)。
-
針對加密,如果尚未啟用,請選擇使用我自己的 AWS KMS key金鑰來加密您的日誌檔案KMS。
選擇現有以使用您的KMS金鑰更新事件資料存放區。選擇與事件資料存放區位於相同區域的KMS金鑰。不支援來自另一個帳戶的金鑰。
在輸入 AWS KMS 別名中, CloudTrail以 格式指定您變更政策使用的別名
alias/MyAliasName。如需詳細資訊,請參閱更新資源以搭配 主控台使用您的KMS金鑰。您可以選擇別名,或使用全域唯一金鑰 ID。此值的格式可為下列其中之一:
-
別名:
alias/MyAliasName -
別名: ARN
arn:aws:kms:region:123456789012:alias/MyAliasName -
索引鍵ARN:
arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012 -
全域唯一金鑰 ID:
12345678-1234-1234-1234-123456789012
-
-
選擇 Save changes (儲存變更)。
注意
如果您選擇的KMS金鑰已停用或正在等待刪除,則無法使用該KMS金鑰儲存事件資料存放區組態。您可以啟用KMS金鑰,或選擇不同的金鑰。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的金鑰狀態:對KMS金鑰的影響。
