Habilitar e desabilitar a criptografia de arquivos de log do CloudTrail com a AWS CLI

Crie uma chave com a AWS CLI. A chave criada deverá estar na mesma região que o bucket do S3 que recebe seus arquivos de log do CloudTrail. Para esta etapa, use o comando create-key do AWS KMS.

Obtenha a política de chaves existente para que você possa modificá-la para utilização com o CloudTrail. Você pode recuperar a política de chaves com o comando get-key-policy do AWS KMS.

Adicione as seções necessárias à política de chaves para que o CloudTrail possa criptografar e os usuários possam descriptografar seus arquivos de log. Garanta que todos os usuários que lerão os arquivos de log tenham recebido permissões de descriptografia. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte Configure as AWS KMS principais políticas para CloudTrail.

Anexe o arquivo JSON modificado de política à chave usando o comando put-key-policy do AWS KMS.

Execute o comando do CloudTrail create-trail ou update-trail com o parâmetro --kms-key-id. Esse comando habilitará a criptografia de log.

aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

O parâmetro --kms-key-id especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes formatos:

Esta é uma resposta de exemplo:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}

A presença do elemento KmsKeyId indica que a criptografia do arquivo de log foi ativada. Os arquivos criptografados de log devem aparecer no seu bucket em aproximadamente 5 minutos.

Crie uma chave com a AWS CLI. A chave que você cria precisa estar na mesma região do armazenamento de dados de eventos. Para esta etapa, execute o comando create-key do AWS KMS.

Obtenha a política de chaves existente a fim de editá-la para uso com o CloudTrail. Você pode obter a política de chaves executando o comando get-key-policy do AWS KMS.

Adicione as seções necessárias à política de chaves para que o CloudTrail possa criptografar e os usuários possam descriptografar seus arquivos de log. Garanta que todos os usuários que lerão os arquivos de log tenham recebido permissões de descriptografia. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte Configure as AWS KMS principais políticas para CloudTrail.

Anexe o arquivo JSON editado de política à chave executando o comando put-key-policy do AWS KMS.

Execute o comando create-event-data-store ou update-event-data-store do CloudTrail e adicione o parâmetro --kms-key-id. Esse comando habilitará a criptografia de log.

aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey

O parâmetro --kms-key-id especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes quatro formatos:

Esta é uma resposta de exemplo:

{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}

A presença do elemento KmsKeyId indica que a criptografia do arquivo de log foi ativada. Os arquivos criptografados de log devem aparecer no seu armazenamento de dados de eventos em aproximadamente 5 minutos.