Habilitar el cifrado de los archivos de CloudTrail registro, los archivos de resumen y los almacenes de datos de eventos mediante el AWS CLI Deshabilitar el cifrado de los archivos de registro y los archivos de resumen mediante el AWS CLI

Activación y desactivación del cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS CLI

En este tema se describe cómo habilitar y deshabilitar el cifrado SSE-KMS para los archivos de CloudTrail registro, los archivos de resumen y los almacenes de datos de eventos mediante el. AWS CLI Para obtener información general, consulte Cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS KMS claves (SSE-KMS).

Temas

Habilitar el cifrado de los archivos de CloudTrail registro, los archivos de resumen y los almacenes de datos de eventos mediante el AWS CLI
Deshabilitar el cifrado de los archivos de registro y los archivos de resumen mediante el AWS CLI

Habilitar el cifrado de los archivos de CloudTrail registro, los archivos de resumen y los almacenes de datos de eventos mediante el AWS CLI

Habilite el cifrado de archivos de registro y de resumen para un registro de seguimiento
Habilite el cifrado para un almacén de datos de eventos

Habilite el cifrado de archivos de registro y de resumen para un registro de seguimiento

Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el depósito de S3 que recibe los archivos de CloudTrail registro. Para este paso, utilice el AWS KMS create-keycomando.
Obtenga la política de claves existente para poder modificarla y utilizarla con ella CloudTrail. Puede recuperar la política clave con el AWS KMS get-key-policycomando.
Añada las secciones necesarias a la política de claves para que los usuarios CloudTrail puedan cifrar y descifrar los archivos de registro y los archivos de resumen. Asegúrese de que todos los usuarios que van a leer los archivos de registro tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte Configure las políticas AWS KMS clave para CloudTrail.
Adjunte el archivo de política JSON modificado a la clave mediante el AWS KMS put-key-policycomando.
Ejecute el update-trail comando CloudTrail create-trail o con el --kms-key-id parámetro. Este comando permite el cifrado de los archivos de registro y de resumen.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
El parámetro --kms-key-id especifica la clave cuya política ha modificado para CloudTrail. Puede estar en alguno de los siguientes formatos:
- Nombre del alias Ejemplo: alias/MyAliasName
- ARN del alias Ejemplo: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN de clave Ejemplo: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de la clave único global Ejemplo: 12345678-1234-1234-1234-123456789012
A continuación, se muestra un ejemplo de respuesta:
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```
La presencia del elemento KmsKeyId indica que se habilitó el cifrado de los archivos de registro. Si se habilitó la validación de los archivos de registro (lo que se indica con el valor verdadero del elemento LogFileValidationEnabled), esto también indica que se habilitó el cifrado de los archivos de resumen. Los archivos de registros y de resumen cifrados deberían aparecer en el bucket de S3 configurado para el registro de seguimiento en un plazo de aproximadamente 5 minutos.

Habilite el cifrado para un almacén de datos de eventos

Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el almacén de datos de eventos. Para este paso, ejecute el AWS KMS create-keycomando.
Obtenga la política de claves existente para editarla y usarla con ella CloudTrail. Puede obtener la política clave ejecutando el AWS KMS get-key-policycomando.
Agregue las secciones necesarias a la política de claves para que CloudTrail pueda cifrar y los usuarios puedan descifrar el almacén de datos de eventos. Asegúrese de que todos los usuarios que van a leer el almacén de datos de eventos tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte Configure las políticas AWS KMS clave para CloudTrail.
Adjunta el archivo de política JSON editado a la clave ejecutando el AWS KMS put-key-policycomando.
Ejecute el update-event-data-store comando CloudTrail create-event-data-store o y añada el --kms-key-id parámetro. Este comando habilita el cifrado del almacén de datos de eventos.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
El parámetro --kms-key-id especifica la clave cuya política ha modificado para CloudTrail. Puede estar en uno de los siguientes cuatro formatos:
- Nombre del alias Ejemplo: alias/MyAliasName
- ARN del alias Ejemplo: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN de clave Ejemplo: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de la clave único global Ejemplo: 12345678-1234-1234-1234-123456789012
A continuación, se muestra un ejemplo de respuesta:
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
La presencia del elemento KmsKeyId indica que se habilitó el cifrado del almacén de datos de eventos.

Deshabilitar el cifrado de los archivos de registro y los archivos de resumen mediante el AWS CLI

Para detener el cifrado de los archivos de registro y de resumen en un registro de seguimiento, ejecute update-trail y pase una cadena vacía al parámetro kms-key-id:


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

A continuación, se muestra un ejemplo de respuesta:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

La ausencia del valor KmsKeyId indica que el cifrado de los archivos de registro y de resumen ya no está habilitado.

importante

No se puede detener el cifrado de un almacén de datos de eventos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Actualización de un recurso para que utilice su clave de KMS con la consola

Cómo AWS CloudTrail usa AWS KMS