本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS X-Ray 中的資料保護
AWS X-Ray 一律會加密追蹤和相關靜態資料。當您需要針對合規性或內部需求稽核和停用加密金鑰時,您可以將 X-Ray 設定為使用 AWS Key Management Service (AWS KMS) 金鑰來加密資料。
X-Ray 提供了一個AWS 受管金鑰命名aws/xray
。當您只想要稽核 AWS CloudTrail 中的金鑰使用情況而不需要管理金鑰本身時,請使用此金鑰。當您需要管理金鑰的存取權限或設定金鑰輪替時,您可以建立客戶管理的金鑰。
當您變更加密設定時,X-Ray 會花費一些時間來產生和傳播資料金鑰。雖然會處理新的金鑰,但 X-Ray 可能會使用新設定和舊設定的組合來加密資料。當您變更加密設定時,並不會重新加密現有資料。
注意
AWS KMSX-Ray 使用 KMS 金鑰加密或解密追蹤資料時收費。
-
默認加密-免費。
-
AWS 受管金鑰— 支付金鑰使用費用。
-
客戶管理的金鑰 — 支付金鑰儲存和使用費用。
注意
X-Ray 洞察通知會將事件傳送至 AmazonEventBridge,而 Amazon 目前不支援客戶受管金鑰。如需詳細資訊,請參閱 Amazon 中的資料保護EventBridge。
您必須擁有客戶管理金鑰的使用者層級存取權,才能將 X-Ray 設定為使用該金鑰,然後檢視加密的追蹤。如需詳細資訊,請參閱 用於加密的使用者許可。
注意
X-Ray 不支援非對稱 KMS 金鑰。
如果 X-Ray 無法存取您的加密金鑰,就會停止儲存資料。如果您的使用者無法存取 KMS 金鑰,或停用目前使用中的金鑰,就會發生這種情況。發生這種情況時,X-Ray 會在導覽列中顯示通知。
若要使用 X-Ray API 設定加密設定,請參閱使用 AWS X-Ray API 設定抽樣、分組和加密設定。