Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Activación y desactivación del cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS CLI
<a name="cloudtrail-log-file-encryption-cli"></a>

En este tema se describe cómo habilitar y deshabilitar el cifrado SSE-KMS para los archivos de CloudTrail registro, los archivos de resumen y los almacenes de datos de eventos mediante el. AWS CLI Para obtener información general, consulte [Cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS KMS claves (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md).

**Topics**
+ [Habilitar el cifrado de los archivos de CloudTrail registro, los archivos de resumen y los almacenes de datos de eventos mediante el AWS CLI](#cloudtrail-log-file-encryption-cli-enable)
+ [Deshabilitar el cifrado de los archivos de registro y los archivos de resumen mediante el AWS CLI](#cloudtrail-log-file-encryption-cli-disable)

## Habilitar el cifrado de los archivos de CloudTrail registro, los archivos de resumen y los almacenes de datos de eventos mediante el AWS CLI
<a name="cloudtrail-log-file-encryption-cli-enable"></a>
+ [Habilite el cifrado de archivos de registro y de resumen para un registro de seguimiento](#log-encryption-trail)
+ [Habilite el cifrado para un almacén de datos de eventos](#log-encryption-eds)<a name="log-encryption-trail"></a>

**Habilite el cifrado de archivos de registro y de resumen para un registro de seguimiento**

1. Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el depósito de S3 que recibe los archivos de CloudTrail registro. Para este paso, utilice el AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.

1. Obtenga la política de claves existente para poder modificarla y utilizarla con ella CloudTrail. Puede recuperar la política clave con el AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando. 

1. Añada las secciones necesarias a la política de claves para que los usuarios CloudTrail puedan cifrar y descifrar los archivos de registro y los archivos de resumen. Asegúrese de que todos los usuarios que van a leer los archivos de registro tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte [Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md).

1. Adjunte el archivo de política JSON modificado a la clave mediante el AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando. 

1. Ejecute el `update-trail` comando CloudTrail `create-trail` o con el `--kms-key-id` parámetro. Este comando permite el cifrado de los archivos de registro y de resumen.

   ```
   aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
   ```

   El parámetro `--kms-key-id` especifica la clave cuya política ha modificado para CloudTrail. Puede estar en alguno de los siguientes formatos: 
   + **Nombre del alias** Ejemplo: `alias/MyAliasName`
   + **ARN del alias** Ejemplo: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName` 
   + **ARN de clave** Ejemplo: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **ID de la clave único global** Ejemplo: `12345678-1234-1234-1234-123456789012` 

   A continuación, se muestra un ejemplo de respuesta:

   ```
   {
       "IncludeGlobalServiceEvents": true, 
       "Name": "Default", 
       "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
       "LogFileValidationEnabled": false,
       "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
       "S3BucketName": "amzn-s3-demo-bucket"
   }
   ```

   La presencia del elemento `KmsKeyId` indica que se habilitó el cifrado de los archivos de registro. Si se habilitó la validación de los archivos de registro (lo que se indica con el valor verdadero del elemento `LogFileValidationEnabled`), esto también indica que se habilitó el cifrado de los archivos de resumen. Los archivos de registros y de resumen cifrados deberían aparecer en el bucket de S3 configurado para el registro de seguimiento en un plazo de aproximadamente 5 minutos.<a name="log-encryption-eds"></a>

**Habilite el cifrado para un almacén de datos de eventos**

1. Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el almacén de datos de eventos. Para este paso, ejecute el AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.

1. Obtenga la política de claves existente para editarla y usarla con ella CloudTrail. Puede obtener la política clave ejecutando el AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando. 

1. Agregue las secciones necesarias a la política de claves para que CloudTrail pueda cifrar y los usuarios puedan descifrar el almacén de datos de eventos. Asegúrese de que todos los usuarios que van a leer el almacén de datos de eventos tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte [Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md).

1. Adjunta el archivo de política JSON editado a la clave ejecutando el AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando.

1. Ejecute el `update-event-data-store` comando CloudTrail `create-event-data-store` o y añada el `--kms-key-id` parámetro. Este comando habilita el cifrado del almacén de datos de eventos.

   ```
   aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
   ```

   El parámetro `--kms-key-id` especifica la clave cuya política ha modificado para CloudTrail. Puede estar en uno de los siguientes cuatro formatos: 
   + **Nombre del alias** Ejemplo: `alias/MyAliasName`
   + **ARN del alias** Ejemplo: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName` 
   + **ARN de clave** Ejemplo: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **ID de la clave único global** Ejemplo: `12345678-1234-1234-1234-123456789012` 

   A continuación, se muestra un ejemplo de respuesta:

   ```
   {
       "Name": "my-event-data-store",
       "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "RetentionPeriod": "90",
       "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
       "MultiRegionEnabled": false,
       "OrganizationEnabled": false,
       "TerminationProtectionEnabled": true,
       "AdvancedEventSelectors": [{
           "Name": "Select all external events",
           "FieldSelectors": [{
               "Field": "eventCategory",
               "Equals": [
                   "ActivityAuditLog"
               ]
           }]
       }]
   }
   ```

   La presencia del elemento `KmsKeyId` indica que se habilitó el cifrado del almacén de datos de eventos.

## Deshabilitar el cifrado de los archivos de registro y los archivos de resumen mediante el AWS CLI
<a name="cloudtrail-log-file-encryption-cli-disable"></a>

Para detener el cifrado de los archivos de registro y de resumen en un registro de seguimiento, ejecute `update-trail` y pase una cadena vacía al parámetro `kms-key-id`: 

```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```

A continuación, se muestra un ejemplo de respuesta:

```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

La ausencia del valor `KmsKeyId` indica que el cifrado de los archivos de registro y de resumen ya no está habilitado.

**importante**  
No se puede detener el cifrado de un almacén de datos de eventos.