Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol - AWS CloudTrail
Perbarui jejak untuk menggunakan kunci KMSMemperbarui penyimpanan data acara untuk menggunakan kunci KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol

Di CloudTrail konsol, perbarui jejak atau penyimpanan data acara untuk menggunakan AWS Key Management Service kunci. Ketahuilah bahwa menggunakan kunci KMS Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Untuk informasi selengkapnya, silakan lihat Harga AWS Key Management Service.

Perbarui jejak untuk menggunakan kunci KMS

Untuk memperbarui jejak untuk menggunakan AWS KMS key yang Anda modifikasi CloudTrail, selesaikan langkah-langkah berikut di CloudTrail konsol.

catatan

Memperbarui jejak dengan prosedur berikut mengenkripsi file log tetapi bukan file intisari dengan SSE-KMS. File Digest dienkripsi dengan kunci enkripsi yang dikelola Amazon S3 (SSE-S3).

Jika Anda menggunakan bucket S3 yang sudah ada dengan Kunci Bucket S3, izin CloudTrail harus diizinkan dalam kebijakan kunci untuk menggunakan AWS KMS tindakan GenerateDataKey dan. DescribeKey Jika izin cloudtrail.amazonaws.com tersebut tidak diberikan dalam kebijakan utama, Anda tidak dapat membuat atau memperbarui jejak.

Untuk memperbarui jejak menggunakan AWS CLI, lihatMengaktifkan dan menonaktifkan enkripsi file CloudTrail log dengan AWS CLI.

Untuk memperbarui jejak untuk menggunakan kunci KMS Anda

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Pilih Trails dan kemudian pilih nama jejak.

  3. Dalam Detail umum, pilih Edit.

  4. Untuk enkripsi SSE-KMS berkas Log, pilih Diaktifkan jika Anda ingin mengenkripsi file log Anda menggunakan enkripsi SSE-KMS alih-alih enkripsi SSE-S3. Defaultnya adalah Diaktifkan. Jika Anda tidak mengaktifkan enkripsi SSE-KMS, log Anda dienkripsi menggunakan enkripsi SSE-S3. Untuk informasi selengkapnya tentang enkripsi SSE-KMS, lihat Menggunakan enkripsi sisi server dengan (SSE-KMS). AWS Key Management Service Untuk informasi selengkapnya tentang enkripsi SSE-S3, lihat Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3).

    Pilih yang Ada untuk memperbarui jejak Anda dengan Anda AWS KMS key. Pilih kunci KMS yang berada di Wilayah yang sama dengan bucket S3 yang menerima file log Anda. Untuk memverifikasi Region untuk bucket S3, lihat propertinya di konsol S3.

    catatan

    Anda juga dapat mengetikkan ARN kunci dari akun lain. Untuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol. Kebijakan kunci harus memungkinkan CloudTrail untuk menggunakan kunci untuk mengenkripsi file log Anda, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dalam bentuk tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

    Di AWS KMS Alias, tentukan alias yang Anda ubah kebijakan untuk digunakan CloudTrail, dalam format. alias/ MyAliasName Untuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol.

    Anda dapat mengetikkan nama alias, ARN, atau ID kunci unik global. Jika kunci KMS milik akun lain, verifikasi bahwa kebijakan kunci memiliki izin yang memungkinkan Anda menggunakannya. Nilai dapat berupa salah satu format berikut:

    • Nama Alias: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Kunci ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID kunci unik secara global: 12345678-1234-1234-1234-123456789012

  5. Pilih Perbarui jejak.

    catatan

    Jika kunci KMS yang Anda pilih dinonaktifkan atau tertunda penghapusan, Anda tidak dapat menyimpan jejak dengan kunci KMS itu. Anda dapat mengaktifkan tombol KMS atau memilih yang lain. Untuk informasi selengkapnya, lihat Status kunci: Efek pada kunci KMS Anda di Panduan AWS Key Management Service Pengembang.

Memperbarui penyimpanan data acara untuk menggunakan kunci KMS

Untuk memperbarui penyimpanan data acara agar menggunakan AWS KMS key yang Anda modifikasi CloudTrail, selesaikan langkah-langkah berikut di CloudTrail konsol.

Untuk memperbarui penyimpanan data acara dengan menggunakan AWS CLI, lihatPerbarui penyimpanan data acara dengan AWS CLI.

penting

Menonaktifkan atau menghapus kunci KMS, atau menghapus CloudTrail izin pada kunci, CloudTrail mencegah masuknya peristiwa ke dalam penyimpanan data peristiwa, dan mencegah pengguna melakukan kueri data di penyimpanan data peristiwa yang dienkripsi dengan kunci. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS tidak dapat dihapus atau diubah. Sebelum Anda menonaktifkan atau menghapus kunci KMS yang Anda gunakan dengan penyimpanan data acara, hapus atau cadangkan penyimpanan data acara Anda.

Untuk memperbarui penyimpanan data acara untuk menggunakan kunci KMS Anda

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Di panel navigasi, pilih Penyimpanan data acara di Danau. Pilih penyimpanan data acara untuk diperbarui.

  3. Dalam Detail umum, pilih Edit.

  4. Untuk Enkripsi, jika belum diaktifkan, pilih Gunakan milik saya AWS KMS key untuk mengenkripsi file log Anda dengan kunci KMS Anda sendiri.

    Pilih yang Ada untuk memperbarui penyimpanan data acara Anda dengan kunci KMS Anda. Pilih kunci KMS yang berada di Wilayah yang sama dengan penyimpanan data acara. Kunci dari akun lain tidak didukung.

    Di Masukkan AWS KMS Alias, tentukan alias yang Anda ubah kebijakan untuk digunakan CloudTrail, dalam format. alias/ MyAliasName Untuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol.

    Anda dapat memilih alias, atau menggunakan ID kunci yang unik secara global. Nilai dapat berupa salah satu format berikut:

    • Nama Alias: alias/MyAliasName

    • Alias ARN: arn:aws:kms:region:123456789012:alias/MyAliasName

    • Kunci ARN: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID kunci unik secara global: 12345678-1234-1234-1234-123456789012

  5. Pilih Simpan perubahan.

    catatan

    Jika kunci KMS yang Anda pilih dinonaktifkan atau tertunda penghapusan, Anda tidak dapat menyimpan konfigurasi penyimpanan data peristiwa dengan kunci KMS tersebut. Anda dapat mengaktifkan tombol KMS, atau memilih kunci yang berbeda. Untuk informasi selengkapnya, lihat Status kunci: Efek pada kunci KMS Anda di Panduan AWS Key Management Service Pengembang.