Habilitar el cifrado de los archivos de registro, los archivos de resumen y los almacenes de datos de eventos de CloudTrail mediante AWS CLI Deshabilitar el cifrado de los archivos de registro y de resumen mediante el AWS CLI

Habilitar y deshabilitar el cifrado de los archivos de registro, los archivos de resumen y los almacenes de datos de eventos de CloudTrail con AWS CLI

En este tema, se describe cómo habilitar y deshabilitar el cifrado SSE-KMS de archivos de registro, de resumen y los almacenes de datos de eventos para CloudTrail mediante la AWS CLI. Para obtener información general, consulte Cifrado de archivos de registros, archivos de resumen y los almacenes de datos de eventos de CloudTrail con claves de AWS KMS (SSE-KMS).

Temas

Habilitar el cifrado de los archivos de registro, los archivos de resumen y los almacenes de datos de eventos de CloudTrail mediante AWS CLI
Deshabilitar el cifrado de los archivos de registro y de resumen mediante el AWS CLI

Habilitar el cifrado de los archivos de registro, los archivos de resumen y los almacenes de datos de eventos de CloudTrail mediante AWS CLI

Habilite el cifrado de archivos de registro y de resumen para un registro de seguimiento
Habilite el cifrado para un almacén de datos de eventos

Habilite el cifrado de archivos de registro y de resumen para un registro de seguimiento

Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el bucket de S3 que recibe sus archivos de registros de CloudTrail. En este paso, utilice el comando de AWS KMS create-key.
Obtenga la política de claves existente para poder modificarla al utilizarla con CloudTrail. Puede recuperar la política de claves con el comando de AWS KMS get-key-policy.
Agregue las secciones necesarias a la política de claves para que CloudTrail pueda cifrar los archivos de registros y de resumen y los usuarios puedan descifrarlos. Asegúrese de que todos los usuarios que van a leer los archivos de registro tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte Configurar políticas de clave de AWS KMS para CloudTrail.
Adjunte el archivo de política JSON modificado a la clave ejecutando el comando de AWS KMS put-key-policy.
Ejecute el comando CloudTrail create-trail o update-trail con el parámetro --kms-key-id. Este comando permite el cifrado de los archivos de registro y de resumen.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
El parámetro --kms-key-id especifica la clave cuya política ha modificado para CloudTrail. Puede estar en alguno de los siguientes formatos:
- Nombre del alias. Ejemplo:: alias/MyAliasName
- ARN de alias. Ejemplo:: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN de clave. Ejemplo:: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de la clave único global. Ejemplo:: 12345678-1234-1234-1234-123456789012
A continuación, se muestra un ejemplo de respuesta:
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```
La presencia del elemento KmsKeyId indica que se habilitó el cifrado de los archivos de registro. Si se habilitó la validación de los archivos de registro (lo que se indica con el valor verdadero del elemento LogFileValidationEnabled), esto también indica que se habilitó el cifrado de los archivos de resumen. Los archivos de registros y de resumen cifrados deberían aparecer en el bucket de S3 configurado para el registro de seguimiento en un plazo de aproximadamente 5 minutos.

Habilite el cifrado para un almacén de datos de eventos

Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el almacén de datos de eventos. Para este paso, ejecute el comando de AWS KMS create-key.
Obtenga la política de claves existente para editarla y poder utilizarla con CloudTrail. Puede obtener la política de claves ejecutando el comando de AWS KMS get-key-policy.
Agregue las secciones necesarias a la política de claves para que CloudTrail pueda cifrar el almacén de datos de eventos y los usuarios puedan descifrarlo. Asegúrese de que todos los usuarios que van a leer el almacén de datos de eventos tengan permisos para descifrarlos. No modifique las secciones existentes de la política. Para obtener información acerca de las secciones de políticas que se deben incluir, consulte Configurar políticas de clave de AWS KMS para CloudTrail.
Adjunte el archivo de política JSON modificado a la clave ejecutando el comando de AWS KMS put-key-policy.
Ejecute el comando create-event-data-store o update-event-data-store de CloudTrail y agregue el parámetro --kms-key-id. Este comando habilita el cifrado del almacén de datos de eventos.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
El parámetro --kms-key-id especifica la clave cuya política ha modificado para CloudTrail. Puede estar en uno de los siguientes cuatro formatos:
- Nombre del alias. Ejemplo:: alias/MyAliasName
- ARN de alias. Ejemplo:: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN de clave. Ejemplo:: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de la clave único global. Ejemplo:: 12345678-1234-1234-1234-123456789012
A continuación, se muestra un ejemplo de respuesta:
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
La presencia del elemento KmsKeyId indica que se habilitó el cifrado del almacén de datos de eventos.

Deshabilitar el cifrado de los archivos de registro y de resumen mediante el AWS CLI

Para detener el cifrado de los archivos de registro y de resumen en un registro de seguimiento, ejecute update-trail y pase una cadena vacía al parámetro kms-key-id:


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

A continuación, se muestra un ejemplo de respuesta:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

La ausencia del valor KmsKeyId indica que el cifrado de los archivos de registro y de resumen ya no está habilitado.

importante

No se puede detener el cifrado de un almacén de datos de eventos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Actualización de un recurso para que utilice su clave de KMS con la consola

Cómo AWS CloudTrail usa AWS KMS