Mengaktifkan dan menonaktifkan enkripsi file CloudTrail log dengan AWS CLI - AWS CloudTrail
Mengaktifkan enkripsi file CloudTrail log dengan menggunakan AWS CLIMenonaktifkan enkripsi file CloudTrail log dengan menggunakan AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan dan menonaktifkan enkripsi file CloudTrail log dengan AWS CLI

Topik ini menjelaskan cara mengaktifkan dan menonaktifkan SSE - enkripsi file KMS log untuk CloudTrail dengan menggunakan file AWS CLI. Untuk informasi latar belakang, lihat Mengenkripsi file CloudTrail log dengan AWS KMS kunci (SSE-) KMS.

Mengaktifkan enkripsi file CloudTrail log dengan menggunakan AWS CLI

Aktifkan enkripsi file log untuk jejak

  1. Buat kunci dengan AWS CLI. Kunci yang Anda buat harus berada di Region yang sama dengan bucket S3 yang menerima file CloudTrail log Anda. Untuk langkah ini, Anda menggunakan AWS KMS create-keyperintah.

  2. Dapatkan kebijakan kunci yang ada sehingga Anda dapat memodifikasinya untuk digunakan CloudTrail. Anda dapat mengambil kebijakan kunci dengan AWS KMS get-key-policyperintah.

  3. Tambahkan bagian yang diperlukan ke kebijakan kunci sehingga CloudTrail dapat mengenkripsi dan pengguna dapat mendekripsi file log Anda. Pastikan bahwa semua pengguna yang membaca file log diberikan izin dekripsi. Jangan mengubah bagian kebijakan yang ada. Untuk informasi tentang bagian kebijakan yang akan disertakan, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

  4. Lampirkan file JSON kebijakan yang dimodifikasi ke kunci dengan menggunakan AWS KMS put-key-policyperintah.

  5. Jalankan update-trail perintah CloudTrail create-trail or dengan --kms-key-id parameter. Perintah ini memungkinkan enkripsi log.

    aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

    --kms-key-idParameter menentukan kunci yang kebijakannya Anda modifikasi. CloudTrail Ini bisa berupa salah satu dari format berikut:

    • Nama Alias. Contoh: alias/MyAliasName

    • Alias ARN. Contoh: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • Kuncinya ARN. Contoh: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID kunci unik secara global. Contoh: 12345678-1234-1234-1234-123456789012

    Berikut adalah respons contohnya:

    {
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}

    Kehadiran KmsKeyId elemen menunjukkan bahwa enkripsi file log telah diaktifkan. File log terenkripsi akan muncul di bucket Anda dalam waktu sekitar 5 menit.

Aktifkan enkripsi file log untuk penyimpanan data acara

  1. Buat kunci dengan AWS CLI. Kunci yang Anda buat harus berada di Wilayah yang sama dengan penyimpanan data acara. Untuk langkah ini, jalankan AWS KMS create-keyperintah.

  2. Dapatkan kebijakan kunci yang ada untuk diedit untuk digunakan CloudTrail. Anda bisa mendapatkan kebijakan kunci dengan menjalankan AWS KMS get-key-policyperintah.

  3. Tambahkan bagian yang diperlukan ke kebijakan kunci sehingga CloudTrail dapat mengenkripsi dan pengguna dapat mendekripsi file log Anda. Pastikan bahwa semua pengguna yang membaca file log diberikan izin dekripsi. Jangan mengubah bagian kebijakan yang ada. Untuk informasi tentang bagian kebijakan yang akan disertakan, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

  4. Lampirkan file JSON kebijakan yang diedit ke kunci dengan menjalankan AWS KMS put-key-policyperintah.

  5. Jalankan update-event-data-store perintah CloudTrail create-event-data-store or, dan tambahkan --kms-key-id parameter. Perintah ini memungkinkan enkripsi log.

    aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey

    --kms-key-idParameter menentukan kunci yang kebijakannya Anda modifikasi. CloudTrail Ini bisa berupa salah satu dari empat format berikut:

    • Nama Alias. Contoh: alias/MyAliasName

    • Alias ARN. Contoh: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

    • Kuncinya ARN. Contoh: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID kunci unik secara global. Contoh: 12345678-1234-1234-1234-123456789012

    Berikut adalah respons contohnya:

    {
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}

    Kehadiran KmsKeyId elemen menunjukkan bahwa enkripsi file log telah diaktifkan. File log terenkripsi akan muncul di penyimpanan data acara Anda dalam waktu sekitar 5 menit.

Menonaktifkan enkripsi file CloudTrail log dengan menggunakan AWS CLI

Untuk berhenti mengenkripsi log pada jejak, jalankan update-trail dan berikan string kosong ke parameter: kms-key-id 

aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

Berikut adalah respons contohnya:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

Tidak adanya KmsKeyId nilai menunjukkan bahwa enkripsi file log tidak lagi diaktifkan.

penting

Anda tidak dapat menghentikan enkripsi file log pada penyimpanan data peristiwa.