Actualizar un registro de seguimiento para que utilice una clave de KMS Actualizar un almacén de datos de eventos para que utilice una clave de KMS

Actualización de un recurso para que utilice su clave de KMS con la consola

En la consola de CloudTrail, actualice un registro de seguimiento o un almacén de datos de eventos para que utilicen una clave de KMS. Tenga en cuenta que el uso de su propia clave de KMS implica costos de cifrado y descifrado de AWS KMS. Para más información, consulte Precios de AWS Key Management Service.

Temas

Actualizar un registro de seguimiento para que utilice una clave de KMS
Actualizar un almacén de datos de eventos para que utilice una clave de KMS

Actualizar un registro de seguimiento para que utilice una clave de KMS

Para actualizar un registro de seguimiento para utilizar la AWS KMS key que ha modificado para CloudTrail, siga los pasos que se describen a continuación en la consola de CloudTrail.

nota

Si está utilizando un bucket de S3 existente con una clave de bucket de S3, CloudTrail debe tener permiso en la política de claves para utilizar las acciones GenerateDataKey y DescribeKey de AWS KMS. Si cloudtrail.amazonaws.com no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.

Para actualizar un registro de seguimiento utilizando la AWS CLI, consulte Habilitar y deshabilitar el cifrado de los archivos de registro, los archivos de resumen y los almacenes de datos de eventos de CloudTrail con AWS CLI.

Para actualizar un registro de seguimiento a fin de utilizar su clave de KMS

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.
Elija Trails (Registros de seguimiento) y, a continuación, elija un nombre de registro de seguimiento.
En General details (Detalles generales), elijaEdit (Editar).
En Cifrado SSE-KMS de archivos de registro, elija Habilitado si desea cifrar sus archivos de registro y de resumen con cifrado SSE-KMS en vez de SSE-S3. El valor predeterminado es Enabled (Habilitado). Si no habilita el cifrado SSE-KMS, los archivos de registro y de resumen se cifrarán mediante el cifrado SSE-S3. Para obtener más información sobre el cifrado SSE-KMS, consulte Uso del cifrado del lado del servidor con AWS Key Management Service (SSE-KMS). Para obtener más información sobre el cifrado SSE-S3, consulte Uso de cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3).

Elija Existing (Existente) para actualizar el registro de seguimiento con su AWS KMS key. Elija una clave de KMS que esté en la misma región que el bucket de S3 que recibe sus archivos de registros. Para verificar la región a la que pertenece un bucket de S3, consulte sus propiedades en la consola de S3.

nota
También puede escribir el ARN de una clave de otra cuenta. Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS con la consola. La política de claves debe permitir que CloudTrail utilice la clave para cifrar los archivos de registro y de resumen, y que los usuarios especificados lean archivos de registro y de resumen en formato no cifrado. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar políticas de clave de AWS KMS para CloudTrail.

En Alias de AWS KMS, especifique el alias para el que cambió la política para utilizarla con CloudTrail en el formato alias/MiAlias. Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS con la consola.

Puede escribir el nombre del alias, el ARN o el ID de clave único global. Si la clave de KMS pertenece a otra cuenta, compruebe que la política de claves tenga los permisos que le permiten utilizarla. El valor puede tener uno de los siguientes formatos:
- Nombre del alias: alias/MyAliasName
- ARN de alias: arn:aws:kms:region:123456789012:alias/MyAliasName
- ARN de clave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de la clave único global: 12345678-1234-1234-1234-123456789012
Elija Update trail (Actualizar registro de seguimiento).

nota
Si la clave de KMS que eligió está deshabilitada o pendiente de eliminación, no podrá guardar el registro de seguimiento con dicha clave de KMS. Puede habilitar la clave de KMS o elegir otra. Para obtener más información, consulte Estado de la clave: efecto en su clave de KMS en la Guía para desarrolladoresAWS Key Management Service.

Actualizar un almacén de datos de eventos para que utilice una clave de KMS

Para actualizar un almacén de datos de eventos para que utilice la AWS KMS key que se modificó para CloudTrail, siga los pasos que se describen a continuación en la consola de CloudTrail.

Para actualizar un almacén de datos de eventos con la AWS CLI, consulte Actualizar un almacén de datos de eventos con la AWS CLI.

importante

Si deshabilita o elimina la clave de KMS, o elimina los permisos de CloudTrail en la clave, evitará que CloudTrail incorpore eventos en el almacén de datos de eventos y que los usuarios consulten los datos del almacén que se cifró con la clave. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar. Antes de deshabilitar o eliminar una clave de KMS que se esté utilizando con un almacén de datos de eventos, elimínelo o haga una copia de seguridad de este.

Para actualizar un almacén de datos de eventos para que utilice su clave de KMS

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.
En el panel de navegación, elija Event data stores (Almacenes de datos de eventos) en Lake. Elija un almacén de datos de eventos para actualizarlo.
En General details (Detalles generales), elijaEdit (Editar).
Si la opción Cifrado aún no está habilitada, seleccione Utilizar mi propia AWS KMS key para cifrar el almacén de datos de eventos con su propia clave de KMS.

Elija Existing (Existente) para actualizar el almacén de datos de eventos con su clave de KMS. Seleccione una clave de KMS que esté en la misma región que el almacén de datos de eventos. No se admite el uso de una clave de otra cuenta.

En Introduzca el alias de AWS KMS, especifique el alias para el que cambió la política para utilizarla con CloudTrail en el formato alias/MiAlias. Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS con la consola.

Puede elegir un alias o utilizar el ID global único de la clave. El valor puede tener uno de los siguientes formatos:
- Nombre del alias: alias/MyAliasName
- ARN de alias: arn:aws:kms:region:123456789012:alias/MyAliasName
- ARN de clave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de la clave único global: 12345678-1234-1234-1234-123456789012
Seleccione Save changes (Guardar cambios).

nota
Si la clave de KMS que eligió está deshabilitada o pendiente de eliminación, no podrá guardar la configuración del almacén de datos de eventos con dicha clave de KMS. Puede habilitar la clave de KMS o elegir una diferente. Para obtener más información, consulte Estado de la clave: efecto en su clave de KMS en la Guía para desarrolladoresAWS Key Management Service.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Política de claves de KMS predeterminada creada en la consola de CloudTrail

Habilitar y deshabilitar el cifrado de los archivos de registro, los archivos de resumen y los almacenes de datos de eventos de CloudTrail con AWS CLI