Activation du chiffrement pour les fichiers CloudTrail journaux, les fichiers condensés et les banques de données d'événements à l'aide du AWS CLI Désactivation du chiffrement des fichiers journaux et des fichiers de synthèse à l'aide du AWS CLI

Activation et désactivation du chiffrement pour les fichiers CloudTrail journaux, les fichiers condensés et les banques de données d'événements à l'aide du AWS CLI

Cette rubrique explique comment activer et désactiver le chiffrement SSE-KMS pour les fichiers CloudTrail journaux, les fichiers condensés et les magasins de données d'événements à l'aide du. AWS CLI Pour plus d'informations, consultez la page Chiffrement des fichiers CloudTrail journaux, des fichiers de synthèse et des banques de données d'événements à l'aide de AWS KMS clés (SSE-KMS).

Rubriques

Activation du chiffrement pour les fichiers CloudTrail journaux, les fichiers condensés et les banques de données d'événements à l'aide du AWS CLI
Désactivation du chiffrement des fichiers journaux et des fichiers de synthèse à l'aide du AWS CLI

Activation du chiffrement pour les fichiers CloudTrail journaux, les fichiers condensés et les banques de données d'événements à l'aide du AWS CLI

Activer le chiffrement des fichiers journaux et des résumés pour un journal
Activer le chiffrement pour un magasin de données d'événements

Activez le chiffrement des fichiers journaux et des fichiers de synthèse pour un suivi

Créez une clé avec la AWS CLI. La clé que vous créez doit se trouver dans la même région que le compartiment S3 qui reçoit vos fichiers CloudTrail journaux. Pour cette étape, vous devez utiliser la AWS KMS create-keycommande.
Obtenez la politique clé existante afin de pouvoir la modifier pour l'utiliser avec CloudTrail. Vous pouvez récupérer la politique clé à l'aide de la AWS KMS get-key-policycommande.
Ajoutez les sections requises à la politique clé afin que les utilisateurs CloudTrail puissent chiffrer et déchiffrer vos fichiers journaux et vos fichiers de synthèse. Veillez à ce que tous les utilisateurs qui lisent les fichiers journaux se voient accorder des autorisations de déchiffrage. Ne modifiez pas les sections existantes de la politique. Pour en savoir plus sur les sections de la politique à inclure, consultez Configurer les politiques AWS KMS clés pour CloudTrail.
Joignez le fichier de politique JSON modifié à la clé à l'aide de la AWS KMS put-key-policycommande.
Exécutez la update-trail commande CloudTrail create-trail ou avec le --kms-key-id paramètre. Cette commande active le chiffrement des fichiers journaux et des fichiers de synthèse.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
Le paramètre --kms-key-id spécifie la clé dont vous avez modifié la stratégie pour CloudTrail. Il peut avoir l'un des formats suivants :
- Nom d'alias. Exemple : alias/MyAliasName
- ARN d'alias. Exemple : arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN de clé. Exemple : arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de clé globalement unique. Exemple : 12345678-1234-1234-1234-123456789012
Voici un exemple de réponse :
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```
La présence de l'KmsKeyIdélément indique que le chiffrement de vos fichiers journaux a été activé. Si la validation du fichier journal a été activée (cela est indiqué par le fait que l'LogFileValidationEnabledélément est défini sur true), cela indique également que le chiffrement a été activé pour vos fichiers de résumé. Les fichiers journaux et les fichiers de synthèse chiffrés devraient apparaître dans le compartiment S3 configuré pour le suivi dans un délai d'environ 5 minutes.

Activer le chiffrement pour un magasin de données d'événements

Créez une clé avec la AWS CLI. La clé que vous créez doit se trouver dans la même région que l'entrepôt de données d'événement. Pour cette étape, exécutez la AWS KMS create-keycommande.
Obtenez la politique clé existante à modifier pour l'utiliser avec CloudTrail. Vous pouvez obtenir la politique clé en exécutant la AWS KMS get-key-policycommande.
Ajoutez les sections requises à la politique clé afin que les utilisateurs CloudTrail puissent chiffrer et déchiffrer votre banque de données d'événements. Assurez-vous que tous les utilisateurs qui lisent le magasin de données d'événements disposent des autorisations de déchiffrement. Ne modifiez pas les sections existantes de la politique. Pour en savoir plus sur les sections de la politique à inclure, consultez Configurer les politiques AWS KMS clés pour CloudTrail.
Joignez le fichier de politique JSON modifié à la clé en exécutant la AWS KMS put-key-policycommande.
Exécutez la update-event-data-store commande CloudTrail create-event-data-store ou, puis ajoutez le --kms-key-id paramètre. Cette commande active le chiffrement du magasin de données d'événements.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
Le paramètre --kms-key-id spécifie la clé dont vous avez modifié la stratégie pour CloudTrail. Il peut avoir l'un des quatre formats suivants :
- Nom d'alias. Exemple : alias/MyAliasName
- ARN d'alias. Exemple : arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN de clé. Exemple : arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de clé globalement unique. Exemple : 12345678-1234-1234-1234-123456789012
Voici un exemple de réponse :
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
La présence de l'KmsKeyIdélément indique que le chiffrement du stockage des données d'événements a été activé.

Désactivation du chiffrement des fichiers journaux et des fichiers de synthèse à l'aide du AWS CLI

Pour arrêter le chiffrement des fichiers journaux et des fichiers de synthèse pour un suivi, exécutez update-trail et transmettez une chaîne vide au kms-key-id paramètre :


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

Voici un exemple de réponse :


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

L'absence de KmsKeyId valeur indique que le chiffrement des fichiers journaux et des fichiers de synthèse n'est plus activé.

Important

Vous ne pouvez pas arrêter le chiffrement d'un magasin de données d'événements.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mettre à jour une ressource pour utiliser votre clé KMS avec la console

Comment les AWS CloudTrail utilisations AWS KMS