AWS X-Ray 中的資料保護 - AWS X-Ray

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS X-Ray 中的資料保護

AWS X-Ray 一律會加密追蹤和相關靜態資料。當您需要針對合規性或內部需求稽核和停用加密金鑰時,您可以將 X-Ray 設定為使用 AWS Key Management Service (AWS KMS) 金鑰來加密資料。

X-Ray 提供了一個AWS 受管金鑰命名aws/xray。當您只想要稽核 AWS CloudTrail 中的金鑰使用情況而不需要管理金鑰本身時,請使用此金鑰。當您需要管理金鑰的存取權限或設定金鑰輪替時,您可以建立客戶管理的金鑰

當您變更加密設定時,X-Ray 會花費一些時間來產生和傳播資料金鑰。雖然會處理新的金鑰,但 X-Ray 可能會使用新設定和舊設定的組合來加密資料。當您變更加密設定時,並不會重新加密現有資料。

注意

AWS KMSX-Ray 使用 KMS 金鑰加密或解密追蹤資料時收費。

  • 默認加密-免費。

  • AWS 受管金鑰— 支付金鑰使用費用。

  • 客戶管理的金鑰 — 支付金鑰儲存和使用費用。

詳情請參閱AWS Key Management Service定價

注意

X-Ray 洞察通知會將事件傳送至 AmazonEventBridge,而 Amazon 目前不支援客戶受管金鑰。如需詳細資訊,請參閱 Amazon 中的資料保護EventBridge

您必須擁有客戶管理金鑰的使用者層級存取權,才能將 X-Ray 設定為使用該金鑰,然後檢視加密的追蹤。如需詳細資訊,請參閱 用於加密的使用者許可

CloudWatch console
將 X-Ray 設定為使用 KMS 金鑰使用CloudWatch主控台進行加密

  1. 請登入AWS Management Console並開啟CloudWatch主控台,網址為 https://console.aws.amazon.com/cloudwatch/

  2. 在左側導覽窗格中選擇 [設定]。

  3. X-Ray 軌跡區段中,選擇加密下的檢視設定

  4. 在「加密組態」區段中選擇 「編輯」。

  5. 選擇 [使用 KMS 金鑰]。

  6. 從下拉式選單中選擇金鑰:

    • aws/X 射線 — 使用. AWS 受管金鑰

    • 金鑰別名 — 在您的帳戶中使用客戶管理的金鑰。

    • 手動輸入金鑰 ARN — 在不同的帳戶中使用客戶受管金鑰。在顯示欄位中,輸入金鑰的完整 Amazon Resource Name (ARN)。

  7. 選擇更新加密

X-Ray console
將 X-Ray 設定為使用 KMS 金鑰使用 X-Ray 主控台進行加密

  1. 開啟 X-Ray 主控台

  2. 選擇 Encryption (加密)

  3. 選擇 [使用 KMS 金鑰]。

  4. 從下拉式選單中選擇金鑰:

    • aws/X 射線 — 使用. AWS 受管金鑰

    • 金鑰別名 — 在您的帳戶中使用客戶管理的金鑰。

    • 手動輸入金鑰 ARN — 在不同的帳戶中使用客戶受管金鑰。在顯示欄位中,輸入金鑰的完整 Amazon Resource Name (ARN)。

  5. 選擇 Apply (套用)。

注意

X-Ray 不支援非對稱 KMS 金鑰。

如果 X-Ray 無法存取您的加密金鑰,就會停止儲存資料。如果您的使用者無法存取 KMS 金鑰,或停用目前使用中的金鑰,就會發生這種情況。發生這種情況時,X-Ray 會在導覽列中顯示通知。

若要使用 X-Ray API 設定加密設定,請參閱使用 AWS X-Ray API 設定抽樣、分組和加密設定