翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
での CloudTrail ログファイルの暗号化の有効化と無効化 AWS CLI
このトピックでは、 CloudTrail を使用して の SSE-KMS ログファイル暗号化を有効または無効にする方法について説明します AWS CLI。背景情報については、「AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)」を参照してください。
を使用した CloudTrail ログファイルの暗号化の有効化 AWS CLI
証跡のログファイル暗号化を有効にする
-
AWS CLIを使用してキーを作成します。作成するキーは、 CloudTrail ログファイルを受信する S3 バケットと同じリージョンにある必要があります。このステップでは、 コマンドを使用します AWS KMS create-key。
-
で使用するために変更できるように、既存のキーポリシーを取得します CloudTrail。コマンドを使用して AWS KMS get-key-policyキーポリシーを取得できます。
-
が を暗号化し CloudTrail 、ユーザーがログファイルを復号できるように、キーポリシーに必要なセクションを追加します。ログファイルを読むすべてのユーザーに、復号許可が付与されているようにしてください。ポリシーの既存のセクションを変更しないでください。追加するポリシーセクションの詳細については、「の AWS KMS キーポリシーを設定する CloudTrail」を参照してください。
-
コマンドを使用して、変更されたJSONポリシーファイルをキーにアタッチします AWS KMS put-key-policy。
-
--kms-key-idパラメータを指定して またはupdate-trailコマンドを実行します CloudTrailcreate-trail。このコマンドは、ログの暗号化を有効にします。aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey--kms-key-idパラメータは、 のポリシーを変更したキーを指定します CloudTrail。次のいずれかの形式を指定できます。-
エイリアス名。例:
alias/MyAliasName -
エイリアス ARN。例:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
キー ARN。例:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012 -
全体で一意のキー ID。例:
12345678-1234-1234-1234-123456789012
以下に、応答の例を示します。
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "amzn-s3-demo-bucket" }KmsKeyId要素が存在するため、ログファイルの暗号化が有効になったことがわかります。暗号化されたログファイルは約 5 分以内にバケットに表示されます。 -
イベントデータストアのログファイル暗号化を有効にする
-
AWS CLIを使用してキーを作成します。作成するキーは、イベントデータストアと同一のリージョンにある必要があります。このステップでは、 コマンドを実行します AWS KMS create-key。
-
で使用するために編集する既存のキーポリシーを取得します CloudTrail。コマンドを実行する AWS KMS get-key-policyと、キーポリシーを取得できます。
-
が を暗号化し CloudTrail 、ユーザーがログファイルを復号できるように、キーポリシーに必要なセクションを追加します。ログファイルを読むすべてのユーザーに、復号許可が付与されているようにしてください。ポリシーの既存のセクションを変更しないでください。追加するポリシーセクションの詳細については、「の AWS KMS キーポリシーを設定する CloudTrail」を参照してください。
-
コマンドを実行して、編集したJSONポリシーファイルをキーにアタッチします AWS KMS put-key-policy。
-
CloudTrail
create-event-data-storeまたはupdate-event-data-storeコマンドを実行し、--kms-key-idパラメータを追加します。このコマンドは、ログの暗号化を有効にします。aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey--kms-key-idパラメータは、 のポリシーを変更したキーを指定します CloudTrail。次の 4 つの形式のいずれかを指定できます。-
エイリアス名。例:
alias/MyAliasName -
エイリアス ARN。例:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
キー ARN。例:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 -
全体で一意のキー ID。例:
12345678-1234-1234-1234-123456789012
以下に、応答の例を示します。
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }KmsKeyId要素が存在するため、ログファイルの暗号化が有効になったことがわかります。暗号化されたログファイルは、約 5 分でイベントデータストアに表示されます。 -
を使用した CloudTrail ログファイルの暗号化の無効化 AWS CLI
証跡でのログの暗号化を停止するには、update-trail を実行して、空の文字列を kms-key-id パラメータに渡します。
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
以下に、応答の例を示します。
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "amzn-s3-demo-bucket" }
KmsKeyId の値がないため、ログファイルの暗号化が有効でなくなったことがわかります。
重要
イベントデータストアでのログファイル暗号化を停止することはできません。
