Actualización de un recurso para que utilice su clave de KMS con la consola - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de un recurso para que utilice su clave de KMS con la consola

En la CloudTrail consola de, actualice un registro de seguimiento o un almacén de datos de eventos para que utilicen una clave de KMS. Tenga en cuenta que el uso de su propia clave de KMS implica AWS KMS costos de cifrado y descifrado de. Para más información, consulte Precios de AWS Key Management Service.

Actualizar un registro de seguimiento para que utilice una clave de KMS

Para actualizar una ruta para utilizarla para la AWS KMS key que se modificó CloudTrail, siga los pasos que se describen a continuación en la CloudTrail consola de.

nota

Si está utilizando un bucket de S3 existente con una clave de bucket de S3, CloudTrail debe tener permiso en la política de claves para utilizar las AWS KMS acciones GenerateDataKey yDescribeKey. Si cloudtrail.amazonaws.com no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.

Para actualizar una ruta mediante el AWS CLI, consulteActivación y desactivación del cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS CLI.

Para actualizar un registro de seguimiento a fin de utilizar su clave de KMS
  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento) y, a continuación, elija un nombre de registro de seguimiento.

  3. En General details (Detalles generales), elijaEdit (Editar).

  4. En Log file SSE-KMS encryption (Cifrado SSE-KMS de archivos de registro), elija Enabled (Habilitado) si desea cifrar sus archivos de registro y los archivos de resumen con cifrado SSE-KMS en vez de SSE-S3. El valor predeterminado es Enabled (Habilitado). Si no habilita el cifrado SSE-KMS, los archivos de registro y los archivos de resumen se cifrarán mediante el cifrado SSE-S3. Para obtener más información sobre el cifrado SSE-KMS, consulte Uso del cifrado del lado del servidor con AWS Key Management Service (SSE-KMS). Para obtener más información sobre el cifrado SSE-S3, consulte Uso de cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3).

    Elija Existing (Existente) para actualizar el registro de seguimiento con su AWS KMS key. Elija una clave de KMS que esté en la misma región que el bucket de S3 que recibe sus archivos de registros. Para verificar la región a la que pertenece un bucket de S3, consulte sus propiedades en la consola de S3.

    nota

    También puede escribir el ARN de una clave de otra cuenta. Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS con la consola. La política de claves debe CloudTrail permitir el uso de la clave para cifrar los archivos de registro y los archivos de resumen. También debe permitir que los usuarios especificados lean archivos de registro o archivos de resumen en formato no cifrado. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar políticas AWS KMS clave para CloudTrail.

    En AWS KMS Alias, especifique el alias con el que ha cambiado la política para usarla CloudTrail, en el formato. alias/ MyAliasName Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS con la consola.

    Puede escribir el nombre del alias, el ARN o el ID de clave único global. Si la clave de KMS pertenece a otra cuenta, compruebe que la política de claves tenga los permisos que le permiten utilizarla. El valor puede tener uno de los siguientes formatos:

    • Nombre del alias: alias/MyAliasName

    • ARN del alias: arn:aws:kms:region:123456789012:alias/MyAliasName

    • ARN de la clave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de la clave único global: 12345678-1234-1234-1234-123456789012

  5. Elija Update trail (Actualizar registro de seguimiento).

    nota

    Si la clave de KMS que eligió está deshabilitada o pendiente de eliminación, no podrá guardar el registro de seguimiento con dicha clave de KMS. Puede habilitar la clave de KMS o elegir otra. Para obtener más información, consulte Estado de la clave: efecto en su clave de KMS en la Guía para desarrolladores AWS Key Management Service .

Actualizar un almacén de datos de eventos para que utilice una clave de KMS

Para actualizar un almacén de datos de eventos para que utilice el AWS KMS key que se modificó CloudTrail, siga los pasos que se describen a continuación en la CloudTrail consola.

Para actualizar un banco de datos de eventos mediante el AWS CLI, consulteActualizar un almacén de datos de eventos con la AWS CLI.

importante

Si deshabilita o elimina la clave de KMS, o elimina CloudTrail los permisos de la clave, CloudTrail evitará que los eventos se incorporen en el almacén de datos de eventos y que los usuarios consulten los datos del almacén que se cifró con la clave. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar. Antes de deshabilitar o eliminar una clave de KMS que se esté utilizando con un almacén de datos de eventos, elimínelo o haga una copia de seguridad de este.

Para actualizar un almacén de datos de eventos para que utilice su clave de KMS
  1. Inicie sesión en AWS Management Console y abra la consola en CloudTrail . https://console.aws.amazon.com/cloudtrail/

  2. En el panel de navegación, elija Event data stores (Almacenes de datos de eventos) en Lake. Elija un almacén de datos de eventos para actualizarlo.

  3. En General details (Detalles generales), elijaEdit (Editar).

  4. Si la opción Cifrado aún no está habilitada, seleccione Utilizar mi propia AWS KMS key para cifrar el almacén de datos de eventos con su propia clave de KMS.

    Elija Existing (Existente) para actualizar el almacén de datos de eventos con su clave de KMS. Seleccione una clave de KMS que esté en la misma región que el almacén de datos de eventos. No se admite el uso de una clave de otra cuenta.

    En Introduzca el AWS KMS alias de, especifique el alias para el que cambió la política para CloudTrail utilizarla en el formato alias/MyAliasName. Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS con la consola.

    Puede elegir un alias o utilizar el ID global único de la clave. El valor puede tener uno de los siguientes formatos:

    • Nombre del alias: alias/MyAliasName

    • ARN del alias: arn:aws:kms:region:123456789012:alias/MyAliasName

    • ARN de la clave: arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

    • ID de la clave único global: 12345678-1234-1234-1234-123456789012

  5. Seleccione Save changes (Guardar cambios).

    nota

    Si la clave de KMS que eligió está deshabilitada o pendiente de eliminación, no podrá guardar la configuración del almacén de datos de eventos con dicha clave de KMS. Puede habilitar la clave de KMS o elegir una diferente. Para obtener más información, consulte Estado de la clave: efecto en su clave de KMS en la Guía para desarrolladores AWS Key Management Service .