本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用和停用 CloudTrail 記錄檔加密 AWS CLI
本主題說明如何使用啟用和停用 SSE-KMS 記錄檔加密 AWS CLI。 CloudTrail 如需背景資訊,請參閱使用 AWS KMS 金鑰加密 CloudTrail 記錄檔 (SSE-KMS)。
啟用 CloudTrail 記錄檔加密 AWS CLI
啟用追蹤的日誌檔案加密
-
使用 AWS CLI建立金鑰。您建立的金鑰必須與接收 CloudTrail 日誌檔的 S3 儲存貯體位於相同的區域。對於此步驟,您可以使用 AWS KMS create-key命令。
-
取得現有的金鑰原則,以便您可以修改它以配合使用 CloudTrail。您可以使用 AWS KMS get-key-policy命令擷取金鑰原則。
-
將必要的區段新增至金鑰原則, CloudTrail 以便加密,使用者可以解密您的記錄檔。確定將解密許可授予所有讀取日誌檔案的使用者。請不要變更任何政策的現有區段。如需要包含之政策區段的詳細資訊,請參閱 設定 AWS KMS 金鑰原則 CloudTrail。
-
使用 AWS KMS put-key-policy指令將修改後的JSON原則檔附加至金鑰。
-
使用
--kms-key-id
參數執行 CloudTrailcreate-trail
或update-trail
命令。此命令會啟用日誌加密。aws cloudtrail update-trail --name Default --kms-key-id alias/
MyKmsKey
此
--kms-key-id
參數會指定您修改其原則的金鑰 CloudTrail。它可以是下列格式中的任何一種:-
別名。範例:
alias/MyAliasName
-
別名ARN。範例:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
-
鑰匙ARN。範例:
arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
-
全域唯一金鑰 ID。範例:
12345678-1234-1234-1234-123456789012
以下是回應範例:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:
123456789012
:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012
:key/12345678-1234-1234-1234-123456789012
", "S3BucketName": "amzn-s3-demo-bucket
" }KmsKeyId
元素的存在指出已啟用日誌檔案加密。加密日誌檔案應該會在大約 5 分鐘內出現在您的儲存貯體中。 -
啟用事件資料存放區的日誌檔案加密
-
使用 AWS CLI建立金鑰。您建立的金鑰必須與事件資料存放區位於相同區域中。對於此步驟,請運行 AWS KMS create-key命令。
-
取得要編輯的現有金鑰原則,以便搭配使用 CloudTrail。您可以透過執行 AWS KMS get-key-policy命令來取得金鑰原則。
-
將必要的區段新增至金鑰原則, CloudTrail 以便加密,使用者可以解密您的記錄檔。確定將解密許可授予所有讀取日誌檔案的使用者。請不要變更任何政策的現有區段。如需要包含之政策區段的詳細資訊,請參閱 設定 AWS KMS 金鑰原則 CloudTrail。
-
執行 AWS KMS put-key-policy指令,將編輯的JSON原則檔附加至金鑰。
-
執行 CloudTrail
create-event-data-store
或update-event-data-store
命令,然後加入--kms-key-id
參數。此命令會啟用日誌加密。aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/
MyKmsKey
此
--kms-key-id
參數會指定您修改其原則的金鑰 CloudTrail。它可以是下列四種格式中的任何一種:-
別名。範例:
alias/MyAliasName
-
別名ARN。範例:
arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
-
鑰匙ARN。範例:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
-
全域唯一金鑰 ID。範例:
12345678-1234-1234-1234-123456789012
以下是回應範例:
{ "Name": "my-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "RetentionPeriod": "90", "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" "MultiRegionEnabled": false, "OrganizationEnabled": false, "TerminationProtectionEnabled": true, "AdvancedEventSelectors": [{ "Name": "Select all external events", "FieldSelectors": [{ "Field": "eventCategory", "Equals": [ "ActivityAuditLog" ] }] }] }
KmsKeyId
元素的存在指出已啟用日誌檔案加密。加密日誌檔案應該會在大約 5 分鐘內出現在您的事件資料存放區中。 -
使用停用 CloudTrail 記錄檔加密 AWS CLI
若要停止加密追蹤中的日誌,請執行 update-trail
並將空白字串傳送至 kms-key-id
參數:
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
以下是回應範例:
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:
123456789012
:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "amzn-s3-demo-bucket
" }
沒有 KmsKeyId
值指出不再啟用日誌檔案加密。
重要
您無法停止事件資料存放區上的日誌檔案加密。