Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden

Aktualisieren Sie in der AWS CloudTrail Konsole einen Trail- oder einen Ereignisdatenspeicher, um einen AWS Key Management Service Schlüssel zu verwenden. Beachten Sie, dass die Verwendung Ihres eigenen KMS Schlüssels AWS KMS Kosten für die Verschlüsselung und Entschlüsselung verursacht. Weitere Informationen finden Sie unter AWS Key Management Service -Preisgestaltung.

Aktualisieren Sie einen Pfad, um einen Schlüssel zu verwenden KMS

Um einen Trail so zu aktualisieren, AWS KMS key dass er den Pfad verwendet, für den Sie ihn geändert haben CloudTrail, führen Sie die folgenden Schritte in der CloudTrail Konsole aus.

Anmerkung

Beim Aktualisieren eines Trails mit dem folgenden Verfahren werden die Protokolldateien, nicht aber die Digest-Dateien mit SSE - verschlüsselt. KMS Digest-Dateien werden mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) verschlüsselt.

Wenn Sie einen vorhandenen S3-Bucket mit einem S3-Bucket-Schlüssel verwenden, CloudTrail müssen Sie in der Schlüsselrichtlinie über die entsprechende Berechtigung verfügen, um die Aktionen und verwenden zu können. AWS KMS GenerateDataKey DescribeKey Wenn cloudtrail.amazonaws.com diese Berechtigungen in der Schlüsselrichtlinie nicht gewährt werden, können Sie keinen Trail erstellen oder aktualisieren.

Informationen zum Aktualisieren eines Trails mithilfe von finden Sie unterAktivieren und Deaktivieren der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI. AWS CLI

So aktualisieren Sie einen Pfad, um Ihren KMS Schlüssel zu verwenden
  1. Melden Sie sich bei an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie Trails und anschließend einen Trail-Namen.

  3. Wählen Sie unter Allgemeine Details Bearbeiten aus.

  4. Wählen Sie für SSEKMSProtokolldateiverschlüsselung die Option Aktiviert aus, wenn Sie Ihre Protokolldateien mit SSE - KMS Verschlüsselung statt mit SSE -S3-Verschlüsselung verschlüsseln möchten. Der Standard ist aktiviert. Wenn Sie die SSE KMS --Verschlüsselung nicht aktivieren, werden Ihre Logs mit der SSE -S3-Verschlüsselung verschlüsselt. Weitere Informationen zur SSE - KMS Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS) verwenden. Weitere Informationen zur SSE -S3-Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit Amazon S3-Managed Encryption Keys (-S3) verwenden. SSE

    Wählen Sie Vorhanden, um Ihren Trail mit Ihrem AWS KMS key zu aktualisieren. Wählen Sie einen KMS Schlüssel, der sich in derselben Region befindet wie der S3-Bucket, der Ihre Protokolldateien empfängt. Zum Überprüfen der Region für einen S3-Bucket sehen Sie sich die entsprechenden Eigenschaften in der S3-Konsole an.

    Anmerkung

    Sie können auch einen Schlüssel ARN von einem anderen Konto eingeben. Weitere Informationen finden Sie unter Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden. Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokolldateien ermöglichen und den von Ihnen angegebenen Benutzern das Lesen von Protokolldateien in unverschlüsselter Form ermöglichen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.

    Geben Sie im Feld AWS KMS Alias den Alias, für den Sie die Richtlinie zur Verwendung mit geändert haben CloudTrail, im folgenden Format an alias/MyAliasNameWeitere Informationen finden Sie unter Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden..

    Sie können den Aliasnamen oder die global eindeutige Schlüssel-ID eingeben. ARN Wenn der KMS Schlüssel zu einem anderen Konto gehört, stellen Sie sicher, dass die Schlüsselrichtlinie über Berechtigungen verfügt, die es Ihnen ermöglichen, ihn zu verwenden. Der Wert kann in einem der folgenden Formate angegeben sein:

    • Aliasname: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Schlüssel ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • Global eindeutige Schlüssel-ID: 12345678-1234-1234-1234-123456789012

  5. Wählen Sie Trail aktualisieren aus.

    Anmerkung

    Wenn der von Ihnen gewählte KMS Schlüssel deaktiviert ist oder noch gelöscht werden muss, können Sie den Trail nicht mit diesem KMS Schlüssel speichern. Sie können den KMS Schlüssel aktivieren oder einen anderen auswählen. Weitere Informationen finden Sie unter Schlüsselstatus: Auswirkung auf Ihren KMS Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Aktualisieren Sie einen Ereignisdatenspeicher, um einen KMS Schlüssel zu verwenden

Um einen Ereignisdatenspeicher so zu aktualisieren, AWS KMS key dass er den verwendet, für den Sie ihn geändert haben CloudTrail, führen Sie die folgenden Schritte in der CloudTrail Konsole aus.

Informationen zum Aktualisieren eines Ereignisdatenspeichers mithilfe von finden Sie unterAktualisieren Sie einen Ereignisdatenspeicher mit dem AWS CLI. AWS CLI

Wichtig

Durch das Deaktivieren oder Löschen des KMS Schlüssels oder das Entfernen von CloudTrail Berechtigungen für den Schlüssel wird CloudTrail verhindert, dass Ereignisse in den Ereignisdatenspeicher aufgenommen werden, und verhindert, dass Benutzer Daten im Ereignisdatenspeicher abfragen, die mit dem Schlüssel verschlüsselt wurden. Nachdem Sie einem Schlüssel einen Ereignisdatenspeicher zugeordnet haben, kann der KMS KMS Schlüssel nicht mehr entfernt oder geändert werden. Bevor Sie einen KMS Schlüssel, den Sie mit einem Ereignisdatenspeicher verwenden, deaktivieren oder löschen, müssen Sie Ihren Ereignisdatenspeicher löschen oder eine Sicherungskopie erstellen.

So aktualisieren Sie einen Veranstaltungsdatenspeicher, sodass er Ihren KMS Schlüssel verwendet
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im linken Navigationsbereich Event data stores (Ereignisdatenspeicher) in Lake aus. Wählen Sie einen zu aktualisierenden Ereignisdatenspeicher aus.

  3. Wählen Sie unter Allgemeine Details Bearbeiten aus.

  4. Wenn Verschlüsselung noch nicht aktiviert ist, wählen Sie Meine eigene Verschlüsselung, AWS KMS key um Ihre Protokolldateien mit Ihrem eigenen KMS Schlüssel zu verschlüsseln.

    Wählen Sie Existiert, um Ihren Eventdatenspeicher mit Ihrem KMS Schlüssel zu aktualisieren. Wählen Sie einen KMS Schlüssel aus, der sich in derselben Region wie der Veranstaltungsdatenspeicher befindet. Schlüssel aus anderen Konten werden nicht unterstützt.

    Geben Sie unter AWS KMS Alias eingeben den Alias, für den Sie die Richtlinie zur Verwendung mit geändert haben CloudTrail, im folgenden Format an alias/MyAliasNameWeitere Informationen finden Sie unter Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden..

    Sie können einen Alias auswählen oder die global eindeutige Schlüssel-ID verwenden. Der Wert kann in einem der folgenden Formate angegeben sein:

    • Aliasname: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Schlüssel ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • Global eindeutige Schlüssel-ID: 12345678-1234-1234-1234-123456789012

  5. Wählen Sie Änderungen speichern.

    Anmerkung

    Wenn der von Ihnen gewählte KMS Schlüssel deaktiviert ist oder noch gelöscht werden muss, können Sie die Konfiguration des Ereignisdatenspeichers nicht mit diesem KMS Schlüssel speichern. Sie können den KMS Schlüssel aktivieren oder einen anderen Schlüssel wählen. Weitere Informationen finden Sie unter Schlüsselstatus: Auswirkung auf Ihren KMS Schlüssel im AWS Key Management Service Entwicklerhandbuch.