本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS
Description
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS Runbook 會使用您指定的 AWS CloudTrail () 客戶受管金鑰來加密 AWS Key Management Service (CloudTrail AWS KMS) 追蹤。此 Runbook 應僅用作基準,以確保您的 CloudTrail 追蹤根據最低建議的安全最佳實務進行加密。我們建議使用不同的 KMS 金鑰加密多個線索。CloudTrail 摘要檔案不會加密。如果您先前已將追蹤true的 EnableLogFileValidation 參數設定為 ,請參閱AWS CloudTrail 《 使用者指南》中的 CloudTrail 預防性安全最佳實務主題的「使用伺服器端加密搭配 AWS KMS 受管金鑰」一節,以取得詳細資訊。
文件類型
自動化
擁有者
Amazon
平台
Linux、macOS、 Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(必要) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。
-
KMSKeyId
類型:字串
描述:(必要) 您要用來加密
TrailName參數中指定之追蹤的客戶受管金鑰的 ARN、金鑰 ID 或金鑰別名。 -
TrailName
類型:字串
描述:(必要) 您要更新以進行加密的線索 ARN 或名稱。
必要的 IAM 許可
AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
cloudtrail:GetTrail -
cloudtrail:UpdateTrail
文件步驟
-
aws:executeAwsApi- 對您在TrailName參數中指定的線索啟用加密。 -
aws:executeAwsApi- 收集您在KMSKeyId參數中指定的客戶受管金鑰的 ARN。 -
aws:assertAwsResourceProperty- 確認 CloudTrail 追蹤已啟用加密。
