Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Activación y desactivación del cifrado de archivos de CloudTrail registro con AWS CLI
En este tema se describe cómo habilitar y deshabilitar SSE el cifrado de archivos de KMS registro CloudTrail mediante AWS CLI. Para obtener información general, consulte Cifrado de archivos de CloudTrail registro con AWS KMS claves (SSE-KMS).
Temas
Habilitar el cifrado de archivos de CloudTrail registro mediante el AWS CLI
Habilitar el cifrado de archivos de registro para un registro de seguimiento
-
Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el depósito de S3 que recibe los archivos de CloudTrail registro. Para este paso, utilice el AWS KMS create-keycomando.
-
Obtenga la política de claves existente para poder modificarla y utilizarla con ella CloudTrail. Puede recuperar la política clave con el AWS KMS get-key-policycomando.
-
Añada las secciones necesarias a la política de claves para que los archivos de registro se CloudTrail puedan cifrar y los usuarios puedan descifrar. Asegúrese de que todos los usuarios que van a leer los archivos de registro tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte Configurar políticas AWS KMS clave para CloudTrail.
-
Adjunte el archivo JSON de política modificado a la clave mediante el AWS KMS put-key-policycomando.
-
Ejecute el
update-trailcomando CloudTrailcreate-trailo con el--kms-key-idparámetro. Este comando habilita el cifrado de registros.aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKeyEl
--kms-key-idparámetro especifica la clave para la que se modificó la política CloudTrail. Puede estar en alguno de los siguientes formatos:-
Nombre del alias Ejemplo:
alias/MyAliasName -
Alias ARN. Ejemplo:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
Clave ARN. Ejemplo:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012 -
ID de la clave único global Ejemplo:
12345678-1234-1234-1234-123456789012
A continuación, se muestra un ejemplo de respuesta:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "amzn-s3-demo-bucket" }La presencia del elemento
KmsKeyIdindica que se ha habilitado el cifrado de los archivos de registro. Los archivos de registro cifrados aparecerán en su bucket en 5 minutos aproximadamente. -
Habilitar el cifrado de archivos de registro para un almacén de datos de eventos
-
Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el almacén de datos de eventos. Para este paso, ejecute el AWS KMS create-keycomando.
-
Obtenga la política de claves existente para editarla y utilizarla con ella CloudTrail. Puede obtener la política clave ejecutando el AWS KMS get-key-policycomando.
-
Añada las secciones necesarias a la política de claves para que CloudTrail pueda cifrar y los usuarios puedan descifrar los archivos de registro. Asegúrese de que todos los usuarios que van a leer los archivos de registro tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte Configurar políticas AWS KMS clave para CloudTrail.
-
Adjunte el archivo JSON de política editado a la clave ejecutando el AWS KMS put-key-policycomando.
-
Ejecute el
update-event-data-storecomando CloudTrailcreate-event-data-storeo y añada el--kms-key-idparámetro. Este comando habilita el cifrado de registros.aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKeyEl
--kms-key-idparámetro especifica la clave cuya política ha modificado CloudTrail. Puede estar en uno de los siguientes cuatro formatos:-
Nombre del alias Ejemplo:
alias/MyAliasName -
Alias ARN. Ejemplo:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
Clave ARN. Ejemplo:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 -
ID de la clave único global Ejemplo:
12345678-1234-1234-1234-123456789012
A continuación, se muestra un ejemplo de respuesta:
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }La presencia del elemento
KmsKeyIdindica que se ha habilitado el cifrado de los archivos de registro. Los archivos de registro cifrados aparecerán en su almacén de datos de eventos en 5 minutos aproximadamente. -
Inhabilitar el cifrado de los archivos de CloudTrail registro mediante el AWS CLI
Para detener el cifrado de los registros en un registro de seguimiento, ejecute el comando update-trail y pase una cadena vacía al parámetro kms-key-id:
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
A continuación, se muestra un ejemplo de respuesta:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "amzn-s3-demo-bucket" }
La ausencia del valor KmsKeyId indica que el cifrado de los archivos de registro ya no está habilitado.
importante
No se puede detener el cifrado de archivos de registro en un almacén de datos de eventos.
