기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 사용하여 CloudTrail 로그 파일 암호화를 활성화 및 비활성화합니다. AWS CLI
이 항목에서는 를 사용하여 KMS 로그 파일 암호화를 활성화 및 SSE CloudTrail 비활성화하는 방법에 대해 설명합니다 AWS CLI. 배경 정보는 AWS KMS 키 (SSE-KMS) 를 사용하여 CloudTrail 로그 파일 암호화를 참조하세요.
를 사용하여 CloudTrail 로그 파일 암호화를 활성화합니다. AWS CLI
추적에 대한 로그 파일 암호화 사용
-
AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 CloudTrail 로그 파일을 수신하는 S3 버킷과 동일한 지역에 있어야 합니다. 이 단계에서는 AWS KMS create-key명령을 사용합니다.
-
에서 사용하도록 수정할 수 있도록 기존 키 정책을 가져오십시오 CloudTrail. AWS KMS get-key-policy명령을 사용하여 키 정책을 검색할 수 있습니다.
-
암호화할 CloudTrail 수 있고 사용자가 로그 파일을 해독할 수 있도록 키 정책에 필수 섹션을 추가합니다. 로그 파일을 읽는 모든 사용자에게는 복호화 권한을 부여해야 합니다. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 에 대한 AWS KMS 주요 정책 구성 CloudTrail을 참조하세요.
-
명령을 사용하여 수정된 JSON 정책 파일을 키에 연결합니다. AWS KMS put-key-policy
-
--kms-key-id매개 변수와 함께 CloudTrailcreate-trail또는update-trail명령을 실행합니다. 이 명령은 로그 암호화를 활성화합니다.aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey--kms-key-id파라미터는 정책을 수정한 대상 키를 지정합니다 CloudTrail. 이는 다음 형식 중 하나일 수 있습니다.-
별칭 이름. 예제:
alias/MyAliasName -
별칭. ARN 예제:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
키 ARN. 예제:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012 -
전역적으로 고유한 키 ID. 예제:
12345678-1234-1234-1234-123456789012
다음은 응답의 예입니다.
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "amzn-s3-demo-bucket" }KmsKeyId요소가 있으면 로그 파일 암호화가 활성화되었음을 나타냅니다. 암호화된 로그 파일은 약 5분 후에 버킷에 나타나야 합니다. -
이벤트 데이터 스토어의 로그 파일 암호화 사용
-
AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 이벤트 데이터 스토어와 동일한 리전에 있어야 합니다. 이 단계에서는 AWS KMS create-key명령을 실행합니다.
-
함께 사용하기 위해 편집할 기존 키 정책을 가져옵니다 CloudTrail. AWS KMS get-key-policy명령을 실행하여 키 정책을 가져올 수 있습니다.
-
암호화할 CloudTrail 수 있고 사용자가 로그 파일을 해독할 수 있도록 키 정책에 필수 섹션을 추가합니다. 로그 파일을 읽는 모든 사용자에게는 복호화 권한을 부여해야 합니다. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 에 대한 AWS KMS 주요 정책 구성 CloudTrail을 참조하세요.
-
명령을 실행하여 편집한 JSON 정책 파일을 키에 연결합니다. AWS KMS put-key-policy
-
CloudTrail
create-event-data-storeorupdate-event-data-store명령을 실행하고--kms-key-id파라미터를 추가합니다. 이 명령은 로그 암호화를 활성화합니다.aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey--kms-key-id파라미터는 정책을 수정한 키의 정책을 지정합니다 CloudTrail. 이는 다음의 4개 형식 중 하나일 수 있습니다.-
별칭 이름. 예제:
alias/MyAliasName -
별칭. ARN 예제:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName -
키 ARN. 예제:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 -
전역적으로 고유한 키 ID. 예제:
12345678-1234-1234-1234-123456789012
다음은 응답의 예입니다.
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }KmsKeyId요소가 있으면 로그 파일 암호화가 활성화되었음을 나타냅니다. 암호화된 로그 파일은 약 5분 후에 이벤트 데이터 스토어에 나타나야 합니다. -
를 사용하여 CloudTrail 로그 파일 암호화를 비활성화합니다. AWS CLI
추적에서 로그 암호화를 중지하려면 update-trail을 실행하고 kms-key-id 파라미터에 빈 문자열을 전달합니다.
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
다음은 응답의 예입니다.
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "amzn-s3-demo-bucket" }
KmsKeyId 값이 없으면 로그 파일 암호화가 더 이상 활성화되어 있지 않음을 나타냅니다.
중요
이벤트 데이터 스토어에서는 로그 파일 암호화를 중지할 수 없습니다.
