Aktivieren der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI Deaktivierung der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI

Aktivieren und Deaktivieren der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI

In diesem Thema wird beschrieben, wie Sie die SSE KMS Protokolldateiverschlüsselung für CloudTrail aktivieren und deaktivieren können AWS CLI. Hintergrundinformationen dazu finden Sie unter CloudTrail Logdateien mit AWS KMS Schlüsseln verschlüsseln (SSE-KMS).

Themen

Aktivieren der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI
Deaktivierung der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI

Aktivieren der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI

Aktivieren der Protokolldateiverschlüsselung für einen Trail
Aktivieren der Protokolldateiverschlüsselung für einen Ereignisdatenspeicher

Aktivieren der Protokolldateiverschlüsselung für einen Trail

Erstellen Sie einen Schlüssel mit der AWS CLI. Der Schlüssel, den Sie erstellen, muss sich in derselben Region befinden wie der S3-Bucket, der Ihre CloudTrail Protokolldateien empfängt. Für diesen Schritt verwenden Sie den AWS KMS create-keyBefehl.
Rufen Sie die vorhandene Schlüsselrichtlinie ab, damit Sie sie für die Verwendung mit ändern können CloudTrail. Sie können die Schlüsselrichtlinie mit dem AWS KMS get-key-policyBefehl abrufen.
Fügen Sie der Schlüsselrichtlinie die erforderlichen Abschnitte hinzu, CloudTrail damit Ihre Protokolldateien verschlüsselt und Benutzer sie entschlüsseln können. Stellen Sie sicher, dass alle Benutzer, die die Protokolldateien lesen sollen, entsprechende Entschlüsselungsberechtigungen erhalten. Nehmen Sie keine Änderungen an bestehenden Abschnitten der Richtlinie vor. Weitere Informationen zu den einzubeziehenden Richtlinienabschnitten finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
Hängen Sie die geänderte JSON Richtliniendatei mithilfe des Befehls an den Schlüssel an AWS KMS put-key-policy.
Führen Sie den update-trail Befehl CloudTrail create-trail oder mit dem --kms-key-id Parameter aus. Mit diesem Befehl wird die Protokollverschlüsselung aktiviert.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
Der --kms-key-id Parameter gibt den Schlüssel an, für dessen Richtlinie Sie geändert haben CloudTrail. Die folgenden Formate sind möglich:
- Aliasname. Beispiel: alias/MyAliasName
- Alias ARN. Beispiel: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- Schlüssel ARN. Beispiel: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- Global eindeutige Schlüssel-ID. Beispiel: 12345678-1234-1234-1234-123456789012
Nachfolgend finden Sie eine Beispielantwort:
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```
Wenn das Element KmsKeyId vorhanden ist, bedeutet das, dass die Verschlüsselung der Protokolldateien aktiviert wurde. Die verschlüsselten Protokolldateien sollten nach etwa 5 Minuten in Ihrem Bucket angezeigt werden.

Aktivieren der Protokolldateiverschlüsselung für einen Ereignisdatenspeicher

Erstellen Sie einen Schlüssel mit der AWS CLI. Der erstellte Schlüssel muss sich in derselben Region befinden wie der Ereignisdatenspeicher. Führen Sie für diesen Schritt den AWS KMS create-keyBefehl aus.
Holen Sie sich die vorhandene Schlüsselrichtlinie, die Sie bearbeiten möchten, damit sie verwendet werden kann CloudTrail. Sie können die Schlüsselrichtlinie abrufen, indem Sie den AWS KMS get-key-policyBefehl ausführen.
Fügen Sie der Schlüsselrichtlinie die erforderlichen Abschnitte hinzu, CloudTrail damit Ihre Protokolldateien verschlüsselt und Benutzer sie entschlüsseln können. Stellen Sie sicher, dass alle Benutzer, die die Protokolldateien lesen sollen, entsprechende Entschlüsselungsberechtigungen erhalten. Nehmen Sie keine Änderungen an bestehenden Abschnitten der Richtlinie vor. Weitere Informationen zu den einzubeziehenden Richtlinienabschnitten finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
Hängen Sie die bearbeitete JSON Richtliniendatei an den Schlüssel an, indem Sie den AWS KMS put-key-policyBefehl ausführen.
Führen Sie den update-event-data-store Befehl CloudTrail create-event-data-store oder aus und fügen Sie den --kms-key-id Parameter hinzu. Mit diesem Befehl wird die Protokollverschlüsselung aktiviert.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
Der --kms-key-id Parameter gibt den Schlüssel an, für dessen Richtlinie Sie Änderungen vorgenommen haben CloudTrail. Die folgenden vier Formate sind möglich:
- Aliasname. Beispiel: alias/MyAliasName
- Alias ARN. Beispiel: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- Schlüssel ARN. Beispiel: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- Global eindeutige Schlüssel-ID. Beispiel: 12345678-1234-1234-1234-123456789012
Nachfolgend finden Sie eine Beispielantwort:
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
Wenn das Element KmsKeyId vorhanden ist, bedeutet das, dass die Verschlüsselung der Protokolldateien aktiviert wurde. Die verschlüsselten Protokolldateien sollten nach etwa 5 Minuten in Ihrem Ereignisdatenspeicher angezeigt werden.

Deaktivierung der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI

Um die Verschlüsselung von Protokolldateien für einen Trail beenden, führen Sie update-trail aus und übergeben eine leere Zeichenfolge an den Parameter kms-key-id:


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

Nachfolgend finden Sie eine Beispielantwort:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

Wenn der Wert KmsKeyId nicht vorhanden ist, bedeutet das, dass die Verschlüsselung der Protokolldateien deaktiviert wurde.

Wichtig

Die Verschlüsselung von Protokolldateien in einem Ereignisdatenspeicher lässt sich nicht beenden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden

Wie AWS CloudTrail verwendet AWS KMS