Aktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mithilfe der AWS CLI Deaktivierung der Verschlüsselung für Protokolldateien und Digest-Dateien mithilfe von AWS CLI

Aktivieren und Deaktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mit dem AWS CLI

In diesem Thema wird beschrieben, wie Sie die SSE-KMS-Verschlüsselung für CloudTrail Protokolldateien, Digestdateien und Ereignisdatenspeicher mithilfe von aktivieren und deaktivieren. AWS CLI Hintergrundinformationen dazu finden Sie unter Verschlüsselung von CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeichern mit AWS KMS Schlüsseln (SSE-KMS).

Themen

Aktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mithilfe der AWS CLI
Deaktivierung der Verschlüsselung für Protokolldateien und Digest-Dateien mithilfe von AWS CLI

Aktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mithilfe der AWS CLI

Aktivieren Sie die Verschlüsselung von Protokolldateien und Digest-Dateien für einen Trail
Aktivieren Sie die Verschlüsselung für einen Ereignisdatenspeicher

Aktivieren Sie die Verschlüsselung für Protokolldateien und Digest-Dateien für einen Trail

Erstellen Sie einen Schlüssel mit der AWS CLI. Der Schlüssel, den Sie erstellen, muss sich in derselben Region befinden wie der S3-Bucket, der Ihre CloudTrail Protokolldateien empfängt. Für diesen Schritt verwenden Sie den AWS KMS create-keyBefehl.
Rufen Sie die vorhandene Schlüsselrichtlinie ab, damit Sie sie für die Verwendung mit ändern können CloudTrail. Sie können die Schlüsselrichtlinie mit dem AWS KMS get-key-policyBefehl abrufen.
Fügen Sie der Schlüsselrichtlinie die erforderlichen Abschnitte hinzu, CloudTrail damit Ihre Protokolldateien und Digest-Dateien verschlüsselt und Benutzer sie entschlüsseln können. Stellen Sie sicher, dass alle Benutzer, die die Protokolldateien lesen sollen, entsprechende Entschlüsselungsberechtigungen erhalten. Nehmen Sie keine Änderungen an bestehenden Abschnitten der Richtlinie vor. Weitere Informationen zu den einzubeziehenden Richtlinienabschnitten finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
Hängen Sie die geänderte JSON-Richtliniendatei mithilfe des Befehls an den Schlüssel an. AWS KMS put-key-policy
Führen Sie den update-trail Befehl CloudTrail create-trail oder mit dem --kms-key-id Parameter aus. Dieser Befehl ermöglicht die Verschlüsselung von Protokolldateien und Digest-Dateien.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
Der Parameter --kms-key-id gibt den Schlüssel an, dessen Richtlinien Sie für CloudTrail angepasst haben. Die folgenden Formate sind möglich:
- Aliasname. Beispiel: alias/MyAliasName
- Alias-ARN. Beispiel: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- Schlüssel-ARN. Beispiel: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- Global eindeutige Schlüssel-ID. Beispiel: 12345678-1234-1234-1234-123456789012
Nachfolgend finden Sie eine Beispielantwort:
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```
Das Vorhandensein des KmsKeyId Elements weist darauf hin, dass die Verschlüsselung für Ihre Protokolldateien aktiviert wurde. Wenn die Überprüfung der Protokolldatei aktiviert wurde (dies wird dadurch angezeigt, dass das LogFileValidationEnabled Element auf true gesetzt ist), bedeutet dies auch, dass die Verschlüsselung für Ihre Digest-Dateien aktiviert wurde. Die verschlüsselten Logdateien und Digest-Dateien sollten innerhalb von etwa 5 Minuten in dem für den Trail konfigurierten S3-Bucket erscheinen.

Aktivieren Sie die Verschlüsselung für einen Ereignisdatenspeicher

Erstellen Sie einen Schlüssel mit der AWS CLI. Der erstellte Schlüssel muss sich in derselben Region befinden wie der Ereignisdatenspeicher. Führen Sie für diesen Schritt den AWS KMS create-keyBefehl aus.
Holen Sie sich die vorhandene Schlüsselrichtlinie, die Sie bearbeiten möchten, damit sie verwendet werden kann CloudTrail. Sie können die Schlüsselrichtlinie abrufen, indem Sie den AWS KMS get-key-policyBefehl ausführen.
Fügen Sie der Schlüsselrichtlinie die erforderlichen Abschnitte hinzu, CloudTrail damit Ihr Ereignisdatenspeicher verschlüsselt und Benutzer ihn entschlüsseln können. Stellen Sie sicher, dass allen Benutzern, die den Ereignisdatenspeicher lesen, Entschlüsselungsberechtigungen erteilt werden. Nehmen Sie keine Änderungen an bestehenden Abschnitten der Richtlinie vor. Weitere Informationen zu den einzubeziehenden Richtlinienabschnitten finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
Hängen Sie die bearbeitete JSON-Richtliniendatei an den Schlüssel an, indem AWS KMS put-key-policySie den Befehl ausführen.
Führen Sie den update-event-data-store Befehl CloudTrail create-event-data-store oder aus und fügen Sie den --kms-key-id Parameter hinzu. Dieser Befehl aktiviert die Verschlüsselung des Ereignisdatenspeichers.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
Der Parameter --kms-key-id gibt den Schlüssel an, dessen Richtlinien Sie für CloudTrail angepasst haben. Die folgenden vier Formate sind möglich:
- Aliasname. Beispiel: alias/MyAliasName
- Alias-ARN. Beispiel: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- Schlüssel-ARN. Beispiel: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- Global eindeutige Schlüssel-ID. Beispiel: 12345678-1234-1234-1234-123456789012
Nachfolgend finden Sie eine Beispielantwort:
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
Das Vorhandensein des KmsKeyId Elements weist darauf hin, dass die Verschlüsselung für den Ereignisdatenspeicher aktiviert wurde.

Deaktivierung der Verschlüsselung für Protokolldateien und Digest-Dateien mithilfe von AWS CLI

Um die Verschlüsselung von Protokoll- und Digest-Dateien für einen Trail zu beenden, führen Sie den Befehl aus update-trail und übergeben Sie eine leere Zeichenfolge an den Parameter: kms-key-id


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

Nachfolgend finden Sie eine Beispielantwort:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

Das Fehlen des KmsKeyId Werts bedeutet, dass die Verschlüsselung für Protokolldateien und Digest-Dateien nicht mehr aktiviert ist.

Wichtig

Sie können die Verschlüsselung für einen Ereignisdatenspeicher nicht beenden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole

Wie AWS CloudTrail verwendet AWS KMS