Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation et désactivation du chiffrement des fichiers CloudTrail journaux à l'aide du AWS CLI
Cette rubrique décrit comment activer et désactiver le SSE chiffrement des fichiers KMS journaux à CloudTrail l'aide du AWS CLI. Pour plus d'informations, consultez la page Chiffrement des fichiers CloudTrail journaux à l'aide de AWS KMS clés (SSE-KMS).
Rubriques
Activation du chiffrement des fichiers CloudTrail journaux à l'aide du AWS CLI
Activer le chiffrement des fichiers journaux pour un journal de suivi
-
Créez une clé avec la AWS CLI. La clé que vous créez doit se trouver dans la même région que le compartiment S3 qui reçoit vos fichiers CloudTrail journaux. Pour cette étape, vous devez utiliser la AWS KMS create-keycommande.
-
Obtenez la politique clé existante afin de pouvoir la modifier pour l'utiliser avec CloudTrail. Vous pouvez récupérer la politique clé à l'aide de la AWS KMS get-key-policycommande.
-
Ajoutez les sections requises à la politique clé afin que les utilisateurs CloudTrail puissent chiffrer et déchiffrer vos fichiers journaux. Veillez à ce que tous les utilisateurs qui lisent les fichiers journaux se voient accorder des autorisations de déchiffrage. Ne modifiez pas les sections existantes de la politique. Pour en savoir plus sur les sections de la politique à inclure, consultez Configurer les politiques AWS KMS clés pour CloudTrail.
-
Joignez le fichier JSON de politique modifié à la clé à l'aide de la AWS KMS put-key-policycommande.
-
Exécutez la
update-trail
commande CloudTrailcreate-trail
ou avec le--kms-key-id
paramètre. Cette commande activera le chiffrement des journaux.aws cloudtrail update-trail --name Default --kms-key-id alias/
MyKmsKey
Le
--kms-key-id
paramètre indique la clé pour laquelle vous avez modifié la politique CloudTrail. Il peut avoir l'un des formats suivants :-
Nom d'alias. Exemple :
alias/MyAliasName
-
Alias ARN. Exemple :
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
-
ARNClé Exemple :
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
-
ID de clé globalement unique. Exemple :
12345678-1234-1234-1234-123456789012
Voici un exemple de réponse :
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:
123456789012
:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012
:key/12345678-1234-1234-1234-123456789012
", "S3BucketName": "amzn-s3-demo-bucket
" }La présence de l'élément
KmsKeyId
indique que le chiffrement de fichiers journaux a été activé. Les fichiers journaux chiffrés devraient apparaître dans votre compartiment dans environ 5 minutes. -
Activer le chiffrement des fichiers journaux pour un magasin de données d'événement
-
Créez une clé avec la AWS CLI. La clé que vous créez doit se trouver dans la même région que l'entrepôt de données d'événement. Pour cette étape, exécutez la AWS KMS create-keycommande.
-
Obtenez la politique clé existante à modifier pour l'utiliser avec CloudTrail. Vous pouvez obtenir la politique clé en exécutant la AWS KMS get-key-policycommande.
-
Ajoutez les sections requises à la politique clé afin que les utilisateurs CloudTrail puissent chiffrer et déchiffrer vos fichiers journaux. Veillez à ce que tous les utilisateurs qui lisent les fichiers journaux se voient accorder des autorisations de déchiffrage. Ne modifiez pas les sections existantes de la politique. Pour en savoir plus sur les sections de la politique à inclure, consultez Configurer les politiques AWS KMS clés pour CloudTrail.
-
Joignez le fichier JSON de politique modifié à la clé en exécutant la AWS KMS put-key-policycommande.
-
Exécutez la
update-event-data-store
commande CloudTrailcreate-event-data-store
ou, puis ajoutez le--kms-key-id
paramètre. Cette commande activera le chiffrement des journaux.aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/
MyKmsKey
Le
--kms-key-id
paramètre indique la clé pour laquelle vous avez modifié la politique CloudTrail. Il peut avoir l'un des quatre formats suivants :-
Nom d'alias. Exemple :
alias/MyAliasName
-
Alias ARN. Exemple :
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
-
ARNClé Exemple :
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
-
ID de clé globalement unique. Exemple :
12345678-1234-1234-1234-123456789012
Voici un exemple de réponse :
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }
La présence de l'élément
KmsKeyId
indique que le chiffrement de fichiers journaux a été activé. Les fichiers journaux chiffrés devraient apparaître dans votre entrepôt de données d'événement dans environ 5 minutes. -
Désactivation du chiffrement des fichiers CloudTrail journaux à l'aide du AWS CLI
Pour arrêter le chiffrement des journaux de suivi, exécutez update-trail
et transmettez une chaîne vide au paramètre kms-key-id
:
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
Voici un exemple de réponse :
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:
123456789012
:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "amzn-s3-demo-bucket
" }
L'absence de la valeur KmsKeyId
indique que le chiffrement des fichiers journaux n'est plus activé.
Important
Vous ne pouvez pas arrêter le chiffrement des fichiers journaux dans un magasin de données d'événement.