Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsseln Sie einen Anomaliedetektor und seine Ergebnisse mit AWS KMS
Die Daten des Anomaliedetektors werden in den Protokollen immer verschlüsselt. CloudWatch Standardmäßig verwendet CloudWatch Logs serverseitige Verschlüsselung für die ruhenden Daten. Als Alternative können Sie AWS Key Management Service für diese Verschlüsselung verwenden. Wenn Sie dies tun, erfolgt die Verschlüsselung mit einem AWS KMS Schlüssel. Die Verschlüsselung AWS KMS wird auf der Ebene des Anomaliedetektors aktiviert, indem ein KMS-Schlüssel einem Anomaliedetektor zugeordnet wird.
**Wichtig**
CloudWatch Logs unterstützt nur symmetrische KMS-Schlüssel. Verwenden Sie keinen asymmetrischen Schlüssel, um die Daten in Ihren Protokollgruppen zu verschlüsseln. Weitere Informationen finden Sie unter [Verwenden von symmetrischen und asymmetrischen Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).
## Einschränkungen
+ Um die folgenden Schritte ausführen zu können, benötigen Sie die folgenden Berechtigungen: `kms:CreateKey`, `kms:GetKeyPolicy` und `kms:PutKeyPolicy`.
+ Nachdem Sie einen Schlüssel einem Anomaliedetektor zugeordnet oder die Zuordnung aufgehoben haben, kann es bis zu fünf Minuten dauern, bis der Vorgang wirksam wird.
+ Wenn Sie CloudWatch Logs den Zugriff auf einen zugehörigen Schlüssel entziehen oder einen zugehörigen KMS-Schlüssel löschen, können Ihre verschlüsselten Daten in CloudWatch Logs nicht mehr abgerufen werden.
### Schritt 1: Erstellen Sie einen AWS KMS Schlüssel
Um einen KMS-Schlüssel zu erstellen, verwenden Sie den folgenden Befehl [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html):
```
aws kms create-key
```
Die Ausgabe enthält die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) des Schlüssels. Das Folgende ist eine Beispielausgabe:
```
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "key-default-1",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/key-default-1",
"AWSAccountId": "123456789012",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
### Schritt 2: Festlegen von Berechtigungen auf dem KMS-Schlüssel
Standardmäßig sind alle AWS KMS Schlüssel privat. Nur der Ressourcenbesitzer kann mit ihnen Daten verschlüsseln und entschlüsseln. Der Ressourceninhaber kann jedoch anderen Benutzern und Ressourcen Zugriffsberechtigungen für den KMS-Schlüssel erteilen. Mit diesem Schritt erteilen Sie dem Prinzipal des CloudWatch Logs-Dienstes die Erlaubnis, den Schlüssel zu verwenden. Dieser Dienstprinzipal muss sich in derselben AWS Region befinden, in der der KMS-Schlüssel gespeichert ist.
Als bewährte Methode empfehlen wir, die Verwendung des KMS-Schlüssels auf die von Ihnen angegebenen AWS Konten oder Anomaliedetektoren zu beschränken.
Speichern Sie zunächst die Standardrichtlinie für Ihren KMS-Schlüssel `policy.json` mit dem folgenden [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)Befehl:
```
aws kms get-key-policy --key-id {{key-id}} --policy-name default --output text > ./policy.json
```
Öffnen Sie die Datei `policy.json` in einem Texteditor und fügen Sie den in Fettschrift angezeigten Abschnitt aus einer der folgenden Anweisungen hinzu. Sie trennen die vorhandene Anweisung von der neuen Anweisung durch ein Komma. Diese Anweisungen verwenden `Condition` Abschnitte, um die Sicherheit des AWS KMS Schlüssels zu erhöhen. Weitere Informationen finden Sie unter [AWS KMS Schlüssel und Verschlüsselungskontext](encrypt-log-data-kms.md#encrypt-log-data-kms-policy).
Der `Condition` Abschnitt in diesem Beispiel beschränkt die Verwendung des AWS KMS Schlüssels auf das angegebene Konto, er kann jedoch für jeden beliebigen Anomaliedetektor verwendet werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "AllowCloudWatchLogsEncryption",
"Effect": "Allow",
"Principal": {
"Service": "logs.{{us-east-1}}.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"StringLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:anomaly-detector:*"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:anomaly-detector:*"
}
}
},
{
"Sid": "AllowCloudWatchLogsDescribeKey",
"Effect": "Allow",
"Principal": {
"Service": "logs.{{us-east-1}}.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
},
{
"Sid": "AllowCloudWatchLogsReEncryption",
"Effect": "Allow",
"Principal": {
"Service": "logs.{{us-east-1}}.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:logs:arn": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:anomaly-detector:*"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:anomaly-detector:*"
}
}
},
{
"Sid": "AllowCloudWatchLogsDescribeKeyForReEncryption",
"Effect": "Allow",
"Principal": {
"Service": "logs.{{us-east-1}}.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
]
}
```
------
Fügen Sie abschließend die aktualisierte Richtlinie mit dem folgenden [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)Befehl hinzu:
```
aws kms put-key-policy --key-id {{key-id}} --policy-name default --policy file://policy.json
```
### Schritt 3: Ordnen Sie einen KMS-Schlüssel einem Anomaliedetektor zu
Sie können einen KMS-Schlüssel einem Anomaliedetektor zuordnen, wenn Sie ihn in der Konsole oder mithilfe von oder erstellen. AWS CLI APIs
#### Schritt 4: Trennen Sie die Zuordnung des Schlüssels zu einem Anomaliedetektor
Nachdem ein Schlüssel einem Anomaliedetektor zugeordnet wurde, können Sie den Schlüssel nicht mehr aktualisieren. Die einzige Möglichkeit, den Schlüssel zu entfernen, besteht darin, den Anomaliedetektor zu löschen und ihn anschließend neu zu erstellen.