Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaktifkan dan menonaktifkan enkripsi untuk file CloudTrail log, mencerna file dan penyimpanan data peristiwa dengan AWS CLI
Topik ini menjelaskan cara mengaktifkan dan menonaktifkan enkripsi SSE-KMS untuk file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan menggunakan file. AWS CLI Untuk informasi latar belakang, lihat [Mengenkripsi file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan AWS KMS kunci (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md).
**Topics**
+ [Mengaktifkan enkripsi untuk file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan menggunakan AWS CLI](#cloudtrail-log-file-encryption-cli-enable)
+ [Menonaktifkan enkripsi untuk file log dan mencerna file dengan menggunakan AWS CLI](#cloudtrail-log-file-encryption-cli-disable)
## Mengaktifkan enkripsi untuk file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan menggunakan AWS CLI
+ [Aktifkan file log dan intisari enkripsi file untuk jejak](#log-encryption-trail)
+ [Aktifkan enkripsi untuk penyimpanan data acara](#log-encryption-eds)
**Aktifkan enkripsi untuk file log dan mencerna file untuk jejak**
1. Buat kunci dengan AWS CLI. Kunci yang Anda buat harus berada di Region yang sama dengan bucket S3 yang menerima file CloudTrail log Anda. Untuk langkah ini, Anda menggunakan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)perintah.
1. Dapatkan kebijakan kunci yang ada sehingga Anda dapat memodifikasinya untuk digunakan CloudTrail. Anda dapat mengambil kebijakan kunci dengan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)perintah.
1. Tambahkan bagian yang diperlukan ke kebijakan kunci sehingga CloudTrail dapat mengenkripsi dan pengguna dapat mendekripsi file log Anda dan mencerna file. Pastikan bahwa semua pengguna yang membaca file log diberikan izin dekripsi. Jangan mengubah bagian kebijakan yang ada. Untuk informasi tentang bagian kebijakan yang akan disertakan, lihat[Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Lampirkan file kebijakan JSON yang dimodifikasi ke kunci dengan menggunakan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)perintah.
1. Jalankan `update-trail` perintah CloudTrail `create-trail` or dengan `--kms-key-id` parameter. Perintah ini memungkinkan enkripsi file log dan mencerna file.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
`--kms-key-id`Parameter menentukan kunci yang kebijakannya Anda modifikasi. CloudTrail Ini bisa berupa salah satu dari format berikut:
+ **Nama Alias**. Contoh: `alias/MyAliasName`
+ **Alias ARN**. Contoh: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Kunci ARN**. Contoh: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID kunci unik secara global.** Contoh: `12345678-1234-1234-1234-123456789012`
Berikut adalah respons contohnya:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Kehadiran `KmsKeyId` elemen menunjukkan bahwa enkripsi untuk file log Anda telah diaktifkan. Jika validasi file log telah diaktifkan (ditunjukkan oleh `LogFileValidationEnabled` elemen yang disetel ke true), ini juga menunjukkan bahwa enkripsi telah diaktifkan untuk file intisari Anda. File log terenkripsi dan file digest akan muncul di bucket S3 yang dikonfigurasi untuk jejak dalam waktu sekitar 5 menit.
**Aktifkan enkripsi untuk penyimpanan data acara**
1. Buat kunci dengan AWS CLI. Kunci yang Anda buat harus berada di Wilayah yang sama dengan penyimpanan data acara. Untuk langkah ini, jalankan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)perintah.
1. Dapatkan kebijakan kunci yang ada untuk diedit untuk digunakan CloudTrail. Anda bisa mendapatkan kebijakan kunci dengan menjalankan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)perintah.
1. Tambahkan bagian yang diperlukan ke kebijakan kunci sehingga CloudTrail dapat mengenkripsi dan pengguna dapat mendekripsi penyimpanan data acara Anda. Pastikan bahwa semua pengguna yang membaca penyimpanan data acara diberikan izin dekripsi. Jangan mengubah bagian kebijakan yang ada. Untuk informasi tentang bagian kebijakan yang akan disertakan, lihat[Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Lampirkan file kebijakan JSON yang diedit ke kunci dengan menjalankan perintah. AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Jalankan `update-event-data-store` perintah CloudTrail `create-event-data-store` or, dan tambahkan `--kms-key-id` parameter. Perintah ini memungkinkan enkripsi penyimpanan data acara.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
`--kms-key-id`Parameter menentukan kunci yang kebijakannya Anda modifikasi. CloudTrail Ini bisa berupa salah satu dari empat format berikut:
+ **Nama Alias**. Contoh: `alias/MyAliasName`
+ **Alias ARN**. Contoh: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Kunci ARN**. Contoh: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID kunci unik secara global.** Contoh: `12345678-1234-1234-1234-123456789012`
Berikut adalah respons contohnya:
```
{
"Name": "my-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"RetentionPeriod": "90",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"TerminationProtectionEnabled": true,
"AdvancedEventSelectors": [{
"Name": "Select all external events",
"FieldSelectors": [{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}]
}]
}
```
Kehadiran `KmsKeyId` elemen menunjukkan bahwa enkripsi untuk penyimpanan data peristiwa telah diaktifkan.
## Menonaktifkan enkripsi untuk file log dan mencerna file dengan menggunakan AWS CLI
Untuk berhenti mengenkripsi file log dan mencerna file untuk jejak, jalankan `update-trail` dan berikan string kosong ke parameter: `kms-key-id`
```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```
Berikut adalah respons contohnya:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Tidak adanya `KmsKeyId` nilai menunjukkan bahwa enkripsi untuk file log dan file digest tidak lagi diaktifkan.
**penting**
Anda tidak dapat menghentikan enkripsi untuk penyimpanan data acara.