Atualizar uma trilha para usar uma chave do KMS Atualizar um armazenamento de dados de eventos para usar uma chave do KMS

Atualizar um recurso para usar sua chave do KMS com o console

No console do AWS CloudTrail, atualize uma trilha ou um armazenamento de dados de eventos para usar uma chave do AWS Key Management Service. Lembre-se de que o uso da sua própria chave do KMS gera custos de criptografia e decodificação do AWS KMS. Para obter mais informações, consulte Preços do AWS Key Management Service.

Tópicos

Atualizar uma trilha para usar uma chave do KMS
Atualizar um armazenamento de dados de eventos para usar uma chave do KMS

Atualizar uma trilha para usar uma chave do KMS

Para atualizar uma trilha para usar a AWS KMS key que você modificou para o CloudTrail, siga estas etapas no console do CloudTrail.

nota

A atuação de uma trilha com o procedimento a seguir criptografa os arquivos de log com o SSE-KMS, mas não os arquivos de compilação. Os arquivos de compilação são criptografados com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Se você estiver usando um bucket do S3 existente com uma chave do bucket do S3, o CloudTrail deverá ter permissão na política de chaves para usar as ações do AWS KMS GenerateDataKey e DescribeKey. Se o cloudtrail.amazonaws.com não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.

Para atualizar uma trilha usando a AWS CLI, consulte Habilitar e desabilitar a criptografia de arquivos de log do CloudTrail com a AWS CLI.

Para atualizar uma trilha para usar sua chave do KMS

Faça login no AWS Management Console e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.
Escolha Trails (Trilhas) e depois escolha um nome para a trilha.
Em General details (Detalhes gerais), escolha Edit (Editar).
Em Log file SSE-KMS encryption (Criptografia de arquivo de log com SSE-KMS), escolha Enabled (Habilitado) se quiser criptografar os arquivos de log com criptografia SSE-KMS em vez de criptografia SSE-S3. O padrão é Enabled (Habilitado). Se você não habilitar a criptografia SSE-SKMS, seus registros serão criptografados usando a criptografia SSE-S3. Para obter mais informações sobre a criptografia SSE-KMS, consulte Uso de criptografia no lado do servidor com o AWS Key Management Service [SSE-KMS]. Para obter mais informações sobre a criptografia SSE-S3, consulte Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) (Uso de criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 [SSE-S3]).

Selecione Existing (Existente) para atualizar a trilha com a AWS KMS key. Escolha uma chave do KMS que esteja na mesma região que o bucket do S3 que recebe seus arquivos de log. Para verificar a região de um bucket do S3, examine as respectivas propriedades no console do S3.

nota
Você também pode digitar o Nome de região da Amazon (ARN) de uma chave de outra conta. Para ter mais informações, consulte Atualizar um recurso para usar sua chave do KMS com o console. A política de chaves precisa permitir que o CloudTrail use a chave para criptografar seus arquivos de log e que os usuários especificados leiam arquivos de log de modo não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as AWS KMS principais políticas para CloudTrail.

Em Alias do AWS KMS, especifique o alias para o qual foi alterada a política para uso com o CloudTrail, no formato alias/MyAliasName. Para ter mais informações, consulte Atualizar um recurso para usar sua chave do KMS com o console.

Você pode digitar o nome do alias, o Nome de região da Amazon (ARN) ou o ID de chave globalmente exclusivo. Se a chave do KMS pertence a outra conta, verifique se a política de chaves tem permissões que possibilitam o seu uso. O valor pode ser um dos seguintes formatos:
- Nome do alias: alias/MyAliasName
- Nome de região da Amazon (ARN) do alias: arn:aws:kms:region:123456789012:alias/MyAliasName
- Nome de região da Amazon (ARN) do alias da chave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de chave globalmente exclusivo: 12345678-1234-1234-1234-123456789012
Escolha Update Trail (Atualizar trilha).

nota
Se a chave do KMS que você escolheu estiver desabilitada ou se a exclusão estiver pendente, você não poderá salvar a trilha com essa chave do KMS. É possível habilitar a chave do KMS ou escolher outra. Para obter mais informações, consulte Estado da chave: efeito na chave do KMS no Guia do desenvolvedor do AWS Key Management Service.

Atualizar um armazenamento de dados de eventos para usar uma chave do KMS

Para atualizar um armazenamento de dados de eventos para usar a AWS KMS key que você modificou para o CloudTrail, siga estas etapas no console do CloudTrail.

Para atualizar um armazenamento de dados de eventos usando a AWS CLI, consulte Atualize um armazenamento de dados de eventos com o AWS CLI.

Importante

Desabilitar ou excluir a chave do KMS ou remover as permissões do CloudTrail na chave impede que o CloudTrail faça a ingestão de eventos para o armazenamento de dados de eventos e impede que os usuários consultem dados no armazenamento de dados de eventos que foram criptografados com a chave. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS. Antes de desativar ou excluir uma chave do KMS que você esteja usando com um armazenamento de dados de eventos, exclua ou faça backup do seu armazenamento de dados de eventos.

Para atualizar um armazenamento de dados de eventos para usar sua chave do KMS

Faça login no AWS Management Console e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.
No painel de navegação, escolha Event data stores (Armazenamentos de dados de eventos) em Lake. Escolha um armazenamento de dados de eventos para atualizar.
Em General details (Detalhes gerais), escolha Edit (Editar).
Se essa opção ainda não estiver habilitada para Criptografia, escolha Usar minha própria AWS KMS key para criptografar seus arquivos de log com sua própria chave do KMS.

Escolha Existing (Existente) para atualizar seu armazenamento de dados de eventos com sua chave do KMS. Escolha uma chave do KMS que esteja na mesma região do armazenamento de dados de eventos. Não há compatibilidade com uma chave de outra conta.

Em Inserir alias do AWS KMS, especifique no formato alias/MyAliasName o alias para o qual você alterou a política para uso com o CloudTrail. Para ter mais informações, consulte Atualizar um recurso para usar sua chave do KMS com o console.

Você pode escolher um alias ou usar o ID de chave global exclusivo. O valor pode ser um dos seguintes formatos:
- Nome do alias: alias/MyAliasName
- Nome de região da Amazon (ARN) do alias: arn:aws:kms:region:123456789012:alias/MyAliasName
- Nome de região da Amazon (ARN) do alias da chave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de chave globalmente exclusivo: 12345678-1234-1234-1234-123456789012
Escolha Salvar alterações.

nota
Se a chave do KMS que você escolheu estiver desabilitada ou com exclusão pendente, não será possível salvar a configuração de armazenamento de dados de eventos com essa chave do KMS. É possível habilitar a chave do KMS ou escolher outra chave. Para obter mais informações, consulte Estado da chave: efeito na chave do KMS no Guia do desenvolvedor do AWS Key Management Service.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Política de KMS chave padrão criada no CloudTrail console

Habilitar e desabilitar a criptografia de arquivos de log do CloudTrail com a AWS CLI