Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Abilitazione e disabilitazione della crittografia per file di CloudTrail registro, file digest e archivi di dati di eventi con AWS CLI
Questo argomento descrive come abilitare e disabilitare la crittografia SSE-KMS per file di CloudTrail registro, file digest e archivi dati di eventi utilizzando. AWS CLI Per informazioni generali, consulta [Crittografia di file di CloudTrail registro, file digest e archivi dati di eventi con AWS KMS chiavi (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md).
**Topics**
+ [Abilitazione della crittografia per file di CloudTrail log, file digest e archivi di dati di eventi utilizzando il AWS CLI](#cloudtrail-log-file-encryption-cli-enable)
+ [Disattivazione della crittografia per i file di registro e i file digest utilizzando il AWS CLI](#cloudtrail-log-file-encryption-cli-disable)
## Abilitazione della crittografia per file di CloudTrail log, file digest e archivi di dati di eventi utilizzando il AWS CLI
+ [Abilita la crittografia dei file di log e dei file digest per un trail](#log-encryption-trail)
+ [Abilita la crittografia per un archivio dati di eventi](#log-encryption-eds)
**Abilita la crittografia per i file di registro e i file digest per un percorso**
1. Creare una chiave con la AWS CLI. La chiave che crei deve trovarsi nella stessa regione del bucket S3 che riceve i CloudTrail file di registro. Per questo passaggio, si utilizza il AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.
1. Ottieni la politica chiave esistente in modo da poterla modificare per utilizzarla con CloudTrail. È possibile recuperare la politica chiave con il AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando.
1. Aggiungi le sezioni obbligatorie alla policy chiave in modo che CloudTrail possa essere crittografata e gli utenti possano decrittografare i file di registro e i file digest. Assicurati che a tutti gli utenti che leggeranno i file di log vengano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Allega il file di policy JSON modificato alla chiave utilizzando il comando. AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Eseguite il `update-trail` comando CloudTrail `create-trail` or con il `--kms-key-id` parametro. Questo comando consente la crittografia dei file di registro e dei file digest.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
Il parametro `--kms-key-id` specifica la chiave con la policy modificata per CloudTrail. Può avere uno qualsiasi dei seguenti formati:
+ **Nome alias**. Ad esempio: `alias/MyAliasName`
+ **ARN alias**. Ad esempio: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **ARN chiave**. Ad esempio: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID chiave univoco a livello globale.** Ad esempio: `12345678-1234-1234-1234-123456789012`
Di seguito è riportata una risposta di esempio:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
"S3BucketName": "amzn-s3-demo-bucket"
}
```
La presenza dell'`KmsKeyId`elemento indica che la crittografia dei file di registro è stata abilitata. Se la convalida dei file di registro è stata abilitata (indicata dall'`LogFileValidationEnabled`elemento impostato su true), ciò indica anche che la crittografia è stata abilitata per i file digest. I file di log e i file digest crittografati dovrebbero apparire nel bucket S3 configurato per il trail entro circa 5 minuti.
**Abilita la crittografia per un archivio dati di eventi**
1. Creare una chiave con la AWS CLI. La chiave che hai creato deve trovarsi nella stessa Regione del datastore di eventi. Per questo passaggio, esegui il AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.
1. Ottieni la politica chiave esistente da modificare e con cui utilizzarla CloudTrail. È possibile ottenere la politica chiave eseguendo il AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando.
1. Aggiungi le sezioni obbligatorie alla policy chiave in modo che sia CloudTrail possibile crittografare e che gli utenti possano decrittografare il data store degli eventi. Assicurati che a tutti gli utenti che leggono l'Event Data Store siano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Allega il file di policy JSON modificato alla chiave eseguendo il comando. AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Eseguite il `update-event-data-store` comando CloudTrail `create-event-data-store` or e aggiungete il `--kms-key-id` parametro. Questo comando abilita la crittografia dell'archivio dati degli eventi.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
Il parametro `--kms-key-id` specifica la chiave con la policy modificata per CloudTrail. Può avere uno qualsiasi dei seguenti quattro formati:
+ **Nome alias**. Ad esempio: `alias/MyAliasName`
+ **ARN alias**. Ad esempio: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **ARN chiave**. Ad esempio: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID chiave univoco a livello globale.** Ad esempio: `12345678-1234-1234-1234-123456789012`
Di seguito è riportata una risposta di esempio:
```
{
"Name": "my-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"RetentionPeriod": "90",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"TerminationProtectionEnabled": true,
"AdvancedEventSelectors": [{
"Name": "Select all external events",
"FieldSelectors": [{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}]
}]
}
```
La presenza dell'`KmsKeyId`elemento indica che la crittografia per l'archivio dati degli eventi è stata abilitata.
## Disattivazione della crittografia per i file di registro e i file digest utilizzando il AWS CLI
Per interrompere la crittografia dei file di registro e dei file digest per un trail, esegui `update-trail` e passa una stringa vuota al parametro: `kms-key-id`
```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```
Di seguito è riportata una risposta di esempio:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
L'assenza del `KmsKeyId` valore indica che la crittografia per i file di log e i file digest non è più abilitata.
**Importante**
Non è possibile interrompere la crittografia per un archivio dati di eventi.