本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS
Description (描述)
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS
runbook 會使用您指定的 AWS CloudTrail (CloudTrail) 客戶管理金鑰加密 AWS Key Management Service (AWS KMS) 追蹤。此 runbook 應該只用作基準,以確保您的CloudTrail跟踪根據建議的最低安全性最佳實踐進行加密。我們建議使用不同的 KMS 金鑰加密多個追蹤。CloudTrail摘要檔案未加密。如果您先前已將追蹤的EnableLogFileValidation
參數設定true
為,請參閱《使用指南》中「CloudTrail預防性安全性最佳作法」主題的「使用伺服器端加密搭配AWS KMS受管理金鑰」一節,以取得詳細資訊。AWS CloudTrail
文件類型
自動化
擁有者
Amazon
平台
LinuxmacOS, Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(必要) 允許系統管理員自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。
-
公里 KeyId
類型:字串
描述:(必要) 您要用來加密您在
TrailName
參數中指定的追蹤之客戶管理金鑰的 ARN、金鑰 ID 或金鑰別名。 -
TrailName
類型:字串
說明:(必要) ARN 或您要更新以加密的軌跡名稱。
必要的 IAM 許可
此AutomationAssumeRole
參數需要執行下列動作,才能成功使用 Runbook。
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
cloudtrail:GetTrail
-
cloudtrail:UpdateTrail
文件步驟
-
aws:executeAwsApi
-對您在TrailName
參數中指定的軌跡啟用加密。 -
aws:executeAwsApi
-針對您在參數中指定的客戶管理金鑰收集 ARN。KMSKeyId
-
aws:assertAwsResourceProperty
-驗證CloudTrail追蹤上是否已啟用加密。