Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol - AWS CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol

Di AWS CloudTrail konsol, perbarui jejak atau penyimpanan data acara untuk menggunakan AWS Key Management Service kunci. Ketahuilah bahwa menggunakan KMS kunci Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Untuk informasi selengkapnya, silakan lihat Harga AWS Key Management Service.

Perbarui jejak untuk menggunakan KMS kunci

Untuk memperbarui jejak untuk menggunakan AWS KMS key yang Anda modifikasi CloudTrail, selesaikan langkah-langkah berikut di CloudTrail konsol.

catatan

Memperbarui jejak dengan prosedur berikut mengenkripsi file log tetapi bukan file intisari dengan -. SSE KMS File Digest dienkripsi dengan kunci enkripsi yang dikelola Amazon S3 (-S3). SSE

Jika Anda menggunakan bucket S3 yang sudah ada dengan Kunci Bucket S3, izin CloudTrail harus diizinkan dalam kebijakan kunci untuk menggunakan AWS KMS tindakan GenerateDataKey dan. DescribeKey Jika izin cloudtrail.amazonaws.com tersebut tidak diberikan dalam kebijakan utama, Anda tidak dapat membuat atau memperbarui jejak.

Untuk memperbarui jejak menggunakan AWS CLI, lihatMengaktifkan dan menonaktifkan enkripsi file CloudTrail log dengan AWS CLI.

Untuk memperbarui jejak untuk menggunakan KMS kunci Anda
  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Pilih Trails dan kemudian pilih nama jejak.

  3. Dalam Detail umum, pilih Edit.

  4. Untuk file Log SSE - KMS enkripsi, pilih Diaktifkan jika Anda ingin mengenkripsi file log Anda menggunakan KMS enkripsi SSE - bukan enkripsi SSE -S3. Defaultnya adalah Diaktifkan. Jika Anda tidak mengaktifkan SSE - KMS enkripsi, log Anda dienkripsi menggunakan enkripsi SSE -S3. Untuk informasi selengkapnya tentang SSE - KMS enkripsi, lihat Menggunakan enkripsi sisi server dengan AWS Key Management Service (SSE-). KMS Untuk informasi selengkapnya tentang enkripsi SSE -S3, lihat Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (-S3). SSE

    Pilih yang Ada untuk memperbarui jejak Anda dengan Anda AWS KMS key. Pilih KMS kunci yang ada di Wilayah yang sama dengan bucket S3 yang menerima file log Anda. Untuk memverifikasi Region untuk bucket S3, lihat propertinya di konsol S3.

    catatan

    Anda juga dapat ARN mengetikkan kunci dari akun lain. Untuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol. Kebijakan kunci harus memungkinkan CloudTrail untuk menggunakan kunci untuk mengenkripsi file log Anda, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dalam bentuk tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

    Di AWS KMS Alias, tentukan alias yang Anda ubah kebijakan untuk digunakan CloudTrail, dalam format alias/MyAliasNameUntuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol.

    Anda dapat mengetikkan nama alias,ARN, atau ID kunci unik global. Jika KMS kunci milik akun lain, verifikasi bahwa kebijakan kunci memiliki izin yang memungkinkan Anda menggunakannya. Nilai dapat berupa salah satu format berikut:

    • Nama Alias: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Kunci ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID kunci unik secara global: 12345678-1234-1234-1234-123456789012

  5. Pilih Perbarui jejak.

    catatan

    Jika KMS kunci yang Anda pilih dinonaktifkan atau tertunda penghapusan, Anda tidak dapat menyimpan jejak dengan kunci ituKMS. Anda dapat mengaktifkan KMS kunci atau memilih yang lain. Untuk informasi selengkapnya, lihat Status kunci: Efek pada KMS kunci Anda di Panduan AWS Key Management Service Pengembang.

Memperbarui penyimpanan data acara untuk menggunakan KMS kunci

Untuk memperbarui penyimpanan data acara agar menggunakan AWS KMS key yang Anda modifikasi CloudTrail, selesaikan langkah-langkah berikut di CloudTrail konsol.

Untuk memperbarui penyimpanan data acara dengan menggunakan AWS CLI, lihatPerbarui penyimpanan data acara dengan AWS CLI.

penting

Menonaktifkan atau menghapus KMS kunci, atau menghapus CloudTrail izin pada kunci, CloudTrail mencegah masuknya peristiwa ke dalam penyimpanan data peristiwa, dan mencegah pengguna melakukan kueri data di penyimpanan data peristiwa yang dienkripsi dengan kunci. Setelah Anda mengaitkan penyimpanan data peristiwa dengan KMS kunci, KMS kunci tidak dapat dihapus atau diubah. Sebelum Anda menonaktifkan atau menghapus KMS kunci yang Anda gunakan dengan penyimpanan data acara, hapus atau cadangkan penyimpanan data acara Anda.

Untuk memperbarui penyimpanan data acara untuk menggunakan KMS kunci Anda
  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Di panel navigasi, pilih Penyimpanan data acara di Danau. Pilih penyimpanan data acara untuk diperbarui.

  3. Dalam Detail umum, pilih Edit.

  4. Untuk Enkripsi, jika belum diaktifkan, pilih Gunakan milik saya AWS KMS key untuk mengenkripsi file log Anda dengan KMS kunci Anda sendiri.

    Pilih yang Ada untuk memperbarui penyimpanan data acara Anda dengan KMS kunci Anda. Pilih KMS kunci yang ada di Wilayah yang sama dengan penyimpanan data acara. Kunci dari akun lain tidak didukung.

    Di Masukkan AWS KMS Alias, tentukan alias yang Anda ubah kebijakan untuk digunakan CloudTrail, dalam format alias/MyAliasNameUntuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol.

    Anda dapat memilih alias, atau menggunakan ID kunci unik global. Nilai dapat berupa salah satu format berikut:

    • Nama Alias: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Kunci ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID kunci unik secara global: 12345678-1234-1234-1234-123456789012

  5. Pilih Simpan perubahan.

    catatan

    Jika KMS kunci yang Anda pilih dinonaktifkan atau tertunda penghapusan, Anda tidak dapat menyimpan konfigurasi penyimpanan data peristiwa dengan kunci ituKMS. Anda dapat mengaktifkan KMS kunci, atau memilih kunci yang berbeda. Untuk informasi selengkapnya, lihat Status kunci: Efek pada KMS kunci Anda di Panduan AWS Key Management Service Pengembang.