기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CLI를 사용하여 CloudTrail 로그 파일 암호화 사용 및 사용 중지
이 주제에서는 AWS CLI를 사용하여 CloudTrail의 SSE-KMS 로그 파일 암호화를 사용 설정 및 사용 중지하는 방법을 설명합니다. 배경 정보는 AWS KMS 키를 사용하여 CloudTrail 로그 파일 암호화(SSE-KMS)를 참조하세요.
AWS CLI를 사용하여 CloudTrail 로그 파일 암호화 사용 설정
추적에 대한 로그 파일 암호화 사용
-
AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 CloudTrail 로그 파일을 수신하는 S3 버킷과 동일한 리전에 있어야 합니다. 이 단계에서는 AWS KMS create-key 명령을 사용합니다.
-
CloudTrail에 사용하기 위해 수정할 수 있도록 기존 키 정책을 가져옵니다. AWS KMS get-key-policy 명령을 사용하여 키 정책을 검색할 수 있습니다.
-
CloudTrail이 로그 파일을 암호화하고 사용자가 로그 파일을 복호화할 수 있도록 필요한 섹션을 키 정책에 추가합니다. 로그 파일을 읽는 모든 사용자에게는 복호화 권한을 부여해야 합니다. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 에 대한 AWS KMS 키 정책 구성 CloudTrail을 참조하세요.
-
AWS KMS put-key-policy 명령을 사용하여 수정된 JSON 정책 파일을 키에 연결합니다.
-
--kms-key-id파라미터와 함께 CloudTrailcreate-trail또는update-trail명령을 실행합니다. 이 명령은 로그 암호화를 활성화합니다.aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey--kms-key-id파라미터는 CloudTrail용으로 수정한 정책의 키를 지정합니다. 이는 다음 형식 중 하나일 수 있습니다.-
별칭 이름. 예시:
alias/MyAliasName -
별칭 ARN. 예:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
키 ARN. 예시:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012 -
전역적으로 고유한 키 ID. 예시:
12345678-1234-1234-1234-123456789012
다음은 응답의 예입니다.
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "amzn-s3-demo-bucket" }KmsKeyId요소가 있으면 로그 파일 암호화가 활성화되었음을 나타냅니다. 암호화된 로그 파일은 약 5분 후에 버킷에 나타나야 합니다. -
이벤트 데이터 스토어의 로그 파일 암호화 사용
-
AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 이벤트 데이터 스토어와 동일한 리전에 있어야 합니다. 이 단계에서는 AWS KMS create-key 명령을 실행합니다.
-
CloudTrail에 사용하기 위해 편집할 기존 키 정책을 가져옵니다. AWS KMS get-key-policy 명령을 실행하여 키 정책을 가져올 수 있습니다.
-
CloudTrail이 로그 파일을 암호화하고 사용자가 로그 파일을 복호화할 수 있도록 필요한 섹션을 키 정책에 추가합니다. 로그 파일을 읽는 모든 사용자에게는 복호화 권한을 부여해야 합니다. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 에 대한 AWS KMS 키 정책 구성 CloudTrail을 참조하세요.
-
AWS KMS put-key-policy 명령을 실행하여 편집된 JSON 정책 파일을 키에 연결합니다.
-
CloudTrail
create-event-data-store또는update-event-data-store명령을 실행한 다음--kms-key-id파라미터를 추가합니다. 이 명령은 로그 암호화를 활성화합니다.aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey--kms-key-id파라미터는 CloudTrail용으로 수정한 정책의 키를 지정합니다. 이는 다음의 4개 형식 중 하나일 수 있습니다.-
별칭 이름. 예시:
alias/MyAliasName -
별칭 ARN. 예:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
키 ARN. 예시:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 -
전역적으로 고유한 키 ID. 예시:
12345678-1234-1234-1234-123456789012
다음은 응답의 예입니다.
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }KmsKeyId요소가 있으면 로그 파일 암호화가 활성화되었음을 나타냅니다. 암호화된 로그 파일은 약 5분 후에 이벤트 데이터 스토어에 나타나야 합니다. -
AWS CLI를 사용하여 CloudTrail 로그 파일 암호화 사용 중지
추적에서 로그 암호화를 중지하려면 update-trail을 실행하고 kms-key-id 파라미터에 빈 문자열을 전달합니다.
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
다음은 응답의 예입니다.
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "amzn-s3-demo-bucket" }
KmsKeyId 값이 없으면 로그 파일 암호화가 더 이상 활성화되어 있지 않음을 나타냅니다.
중요
이벤트 데이터 스토어에서는 로그 파일 암호화를 중지할 수 없습니다.
