本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS X-Ray 中的数据保护
AWS X-Ray 始终对跟踪和相关静态数据进行加密。如果出于合规性要求或内部要求需要审核并禁用加密密钥,您可以配置 X-Ray 使用 AWS Key Management Service (AWS KMS) 密钥加密数据。
X-Ray 提供一个名为 aws/xray
的 AWS 托管式密钥。如果您只希望审核 AWS CloudTrail 中的密钥使用情况,不需要管理密钥本身,请使用此密钥。如果您需要管理对密钥的访问权限或配置密钥轮换,可以创建客户托管密钥。
如果更改加密设置,X-Ray 需要花费一些时间来生成和传播数据密钥。在处理新密钥的过程中,X-Ray 可能会使用新旧设置的组合加密数据。更改加密设置后,不会对现有数据进行重新加密。
注意
如果 X-Ray 使用 KMS 加密或解密跟踪数据,AWS KMS 会收费。
-
默认加密 - 免费。
-
AWS 托管式密钥 — 付费使用密钥。
-
客户托管密钥 - 存储和使用密钥需付费。
有关详细信息,请参阅AWS Key Management Service定价
注意
X-Ray 见解通知将事件发送到 Amazon EventBridge,后者暂不支持客户托管密钥。有关更多信息,请参阅 Amazon EventBridge 中的数据保护。
您必须具有对客户托管密钥的用户级访问权限才能将 X-Ray 配置为使用该密钥然后查看加密的跟踪。参阅 用户加密权限 了解更多信息。
注意
X-Ray 不支持非对称 KMS 密钥。
如果 X-Ray 无法访问您的加密密钥,会停止存储数据。如果您的用户无法访问 KMS 密钥,或者您禁用了当前正在使用的密钥,会发生这种情况。如果发生这种情况,X-Ray 会在导航栏中显示了一个通知。
要使用 X-Ray API 配置加密设置,请参阅 利用 AWS X-Ray API 配置采样、组和加密设置。