Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Policy chiave KMS predefinita creata nella console CloudTrail
Se ne crei una AWS KMS key nella CloudTrail console, le seguenti politiche vengono create automaticamente. La policy supporta queste autorizzazioni:
+ Consente le autorizzazioni Account AWS (root) per la chiave KMS.
+ Consente di CloudTrail crittografare i file di registro e i file digest sotto la chiave KMS e di descrivere la chiave KMS.
+ Consente a tutti gli utenti degli account specificati di decrittografare i file di registro e i file digest.
+ Permette a tutti gli utenti nell'account specificato di creare un alias KMS per la chiave KMS.
+ Abilita la decrittografia di log tra più account per l'ID account dell'account che ha creato il trail.
**Topics**
+ [Policy della chiave KMS predefinita per i trail](#default-kms-key-policy-trail)
+ [Politica delle chiavi KMS predefinita per gli archivi di dati di eventi Lake CloudTrail](#default-kms-key-policy-eds)
## Policy della chiave KMS predefinita per i trail
Di seguito è riportato il criterio predefinito creato per un AWS KMS key che si utilizza con un trail.
**Nota**
La politica include una dichiarazione per consentire a più account di decrittografare i file di registro e i file digest con la chiave KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111111111111}}:root",
"arn:aws:iam::{{111111111111}}:user/{{username}}"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:trail/{{trail-name}}"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:{{111111111111}}:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "{{111111111111}}"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:{{111111111111}}:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "{{111111111111}}"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:{{111111111111}}:trail/*"
}
}
}
]
}
```
------
## Politica delle chiavi KMS predefinita per gli archivi di dati di eventi Lake CloudTrail
La seguente è la politica predefinita creata per un AWS KMS key che utilizzi con un data store di eventi in CloudTrail Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111111111111}}:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::{{111111111111}}:assumed-role/{{example-role-name}}"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------