Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurer les politiques AWS KMS clés pour CloudTrail
Vous pouvez créer un AWS KMS key de trois manières :
+ La CloudTrail console
+ La console AWS de gestion
+ Le AWS CLI
**Note**
Si vous créez une clé KMS dans la CloudTrail console, CloudTrail ajoute la politique de clé KMS requise pour vous. Vous n’avez pas besoin d’ajouter manuellement les déclarations de politique. Consultez [Politique de clé KMS par défaut créée dans CloudTrail la console](default-kms-key-policy.md).
Si vous créez une clé KMS dans le AWS Management Console ou le AWS CLI, vous devez ajouter des sections de politique à la clé afin de pouvoir l'utiliser avec CloudTrail. La politique doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux, vos fichiers de synthèse et vos magasins de données d'événements, et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux et les fichiers de synthèse sous forme non chiffrée.
Consultez les ressources suivantes :
+ Pour créer une clé KMS avec le AWS CLI, voir [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
+ Pour modifier une politique clé KMS pour CloudTrail, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) dans le *guide du AWS Key Management Service développeur*.
+ Pour des informations techniques sur le mode d' CloudTrail utilisation AWS KMS, voir[Comment les AWS CloudTrail utilisations AWS KMS](how-kms-works-with-cloudtrail.md).
**Topics**
+ [Sections de politique clés KMS requises pour une utilisation avec CloudTrail](#create-kms-key-policy-for-cloudtrail-policy-sections)
+ [Octroi d'autorisations de chiffrement pour les sentiers](#create-kms-key-policy-for-cloudtrail-encrypt)
+ [Octroi d'autorisations de chiffrement pour les magasins de données d'événements](#create-kms-key-policy-for-cloudtrail-encrypt-eds)
+ [Octroi d'autorisations de déchiffrement pour les sentiers](#create-kms-key-policy-for-cloudtrail-decrypt)
+ [Octroi d'autorisations de déchiffrement pour les magasins de données d'événements](#create-kms-key-policy-for-cloudtrail-decrypt-eds)
+ [Activer CloudTrail pour décrire les propriétés des clés KMS](#create-kms-key-policy-for-cloudtrail-describe)
+ [Politique de clé KMS par défaut créée dans CloudTrail la console](default-kms-key-policy.md)
## Sections de politique clés KMS requises pour une utilisation avec CloudTrail
Si vous avez créé une clé KMS à l'aide de la console de AWS gestion ou du AWS CLI, vous devez au minimum ajouter les instructions suivantes à votre politique de clé KMS pour qu'elle fonctionne CloudTrail.
**Topics**
+ [Éléments de politique clé KMS requis pour les journaux de suivi](#required-kms-key-policy-trails)
+ [Éléments de politique clé KMS requis pour les magasins de données d'événement](#required-kms-key-policy-eventdatastores)
### Éléments de politique clé KMS requis pour les journaux de suivi
1. Accordez des autorisations pour chiffrer les fichiers CloudTrail journaux et résumés. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de chiffrement pour les sentiers](#create-kms-key-policy-for-cloudtrail-encrypt).
1. Accordez des autorisations pour déchiffrer les fichiers CloudTrail journaux et résumés. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de déchiffrement pour les sentiers](#create-kms-key-policy-for-cloudtrail-decrypt). Si vous utilisez un compartiment S3 existant avec une clé [S3 Bucket Key](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) (Clé de compartiment S3), les autorisations `kms:Decrypt` sont nécessaires pour créer ou mettre à jour un journal de suivi en utilisant le chiffrement SSE-KMS activé.
1. Activez CloudTrail cette option pour décrire les propriétés des clés KMS. Pour de plus amples informations, veuillez consulter [Activer CloudTrail pour décrire les propriétés des clés KMS](#create-kms-key-policy-for-cloudtrail-describe).
Comme bonne pratique en matière de sécurité, ajoutez une clé de condition `aws:SourceArn` à la politique de clé KMS. La clé de condition globale IAM `aws:SourceArn` permet de garantir que la clé KMS est CloudTrail utilisée uniquement pour un ou plusieurs sentiers spécifiques. La valeur de `aws:SourceArn` est toujours l'ARN du sentier (ou tableau de sentiers ARNs) qui utilise la clé KMS. Veillez à ajouter la clé de condition `aws:SourceArn` des politiques de clé KMS pour les journaux d’activité existants.
La clé de condition `aws:SourceAccount` est également prise en charge, mais elle n’est pas recommandée. La valeur de `aws:SourceAccount` est l’ID de compte du propriétaire du journal d’activité ou, pour les journaux d’activité de l’organisation, l’ID du compte de gestion.
**Important**
Lorsque vous ajoutez les nouvelles sections à votre politique de clé KMS, ne changez pas les sections existantes dans la politique.
Si le chiffrement est activé lors d'un suivi et que la clé KMS est désactivée, ou si la politique de clé KMS n'est pas correctement configurée CloudTrail, les journaux CloudTrail ne peuvent pas être envoyés.
### Éléments de politique clé KMS requis pour les magasins de données d'événement
1. Accordez des autorisations pour chiffrer un magasin de données d'événements CloudTrail Lake. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de chiffrement pour les magasins de données d'événements](#create-kms-key-policy-for-cloudtrail-encrypt-eds).
1. Accordez des autorisations pour déchiffrer un magasin de données d'événements CloudTrail Lake. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de déchiffrement pour les magasins de données d'événements](#create-kms-key-policy-for-cloudtrail-decrypt-eds).
Lorsque vous créez un magasin de données d'événement et le chiffrez avec une clé KMS, ou que vous exécutez des requêtes sur un magasin de données d'événement que vous chiffrez avec une clé KMS, vous devez avoir un accès en écriture à la clé KMS. La politique de clé KMS doit avoir accès à CloudTrail, et la clé KMS doit être gérable par les utilisateurs qui exécutent des opérations (telles que des requêtes) sur le magasin de données d'événements.
1. Activez CloudTrail cette option pour décrire les propriétés des clés KMS. Pour de plus amples informations, veuillez consulter [Activer CloudTrail pour décrire les propriétés des clés KMS](#create-kms-key-policy-for-cloudtrail-describe).
Les clés de condition `aws:SourceArn` et `aws:SourceAccount` ne sont pas prises en charge dans les politiques relatives aux clés KMS pour les magasins de données d'événement.
**Important**
Lorsque vous ajoutez les nouvelles sections à votre politique de clé KMS, ne changez pas les sections existantes dans la politique.
Si le chiffrement est activé sur un magasin de données d'événements et que la clé KMS est désactivée ou supprimée, ou si la politique de clé KMS n'est pas correctement configurée CloudTrail, vous CloudTrail ne pouvez pas transmettre d'événements à votre magasin de données d'événements.
## Octroi d'autorisations de chiffrement pour les sentiers
**Example Permet CloudTrail de chiffrer les fichiers journaux et de digérer les fichiers pour le compte de comptes spécifiques**
CloudTrail nécessite une autorisation explicite pour utiliser la clé KMS afin de chiffrer les fichiers journaux et de digérer les fichiers pour le compte de comptes spécifiques. Pour spécifier un compte, ajoutez l'instruction obligatoire suivante à votre politique de clés KMS et *account-id* remplacez-la *trailName* par les valeurs appropriées à votre configuration. *region* Vous pouvez ajouter un compte supplémentaire IDs à la `EncryptionContext` section pour permettre à ces comptes d' CloudTrail utiliser votre clé KMS pour chiffrer les fichiers journaux et digérer les fichiers.
Comme bonne pratique en matière de sécurité, ajoutez une clé de condition `aws:SourceArn` à la politique de clé KMS pour un journal de suivi. La clé de condition globale IAM `aws:SourceArn` permet de garantir que la clé KMS est CloudTrail utilisée uniquement pour un ou plusieurs sentiers spécifiques.
```
{
"Sid": "AllowCloudTrailEncryptLogs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
}
}
}
```
**Example**
L'exemple de déclaration de politique suivant illustre comment un autre compte peut utiliser votre clé KMS pour chiffrer les fichiers CloudTrail journaux et digérer les fichiers.
**Scénario**
+ Votre clé KMS se trouve dans le compte *111111111111*.
+ Vous et votre compte *222222222222* chiffrerez les journaux.
Dans la politique, vous ajoutez un ou plusieurs comptes chiffrés avec votre clé au CloudTrail **EncryptionContext**. Cela se limite CloudTrail à l'utilisation de votre clé pour chiffrer les fichiers journaux et digérer les fichiers uniquement pour les comptes que vous spécifiez. Lorsque vous *222222222222* autorisez le root du compte à chiffrer les fichiers journaux et à digérer les fichiers, il délègue l'autorisation à l'administrateur du compte de chiffrer les autorisations nécessaires aux autres utilisateurs de ce compte. Pour ce faire, l'administrateur du compte modifie les politiques associées à ces utilisateurs IAM.
Comme bonne pratique en matière de sécurité, ajoutez une clé de condition `aws:SourceArn` à la politique de clé KMS. La clé de condition globale IAM `aws:SourceArn` permet de garantir que la clé KMS est CloudTrail utilisée uniquement pour les sentiers spécifiés. Cette condition n'est pas prise en charge dans les stratégies de clé KMS pour les entrepôts de données d'événement.
Déclaration de politique de clé KMS :
```
{
"Sid": "EnableCloudTrailEncryptPermissions",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": [
"arn:aws:cloudtrail:*:111111111111:trail/*",
"arn:aws:cloudtrail:*:222222222222:trail/*"
]
},
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Pour plus d'informations sur la modification d'une politique de clé KMS à utiliser avec CloudTrail, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) dans le Guide du AWS Key Management Service développeur.
## Octroi d'autorisations de chiffrement pour les magasins de données d'événements
Une politique pour une clé KMS utilisée pour chiffrer un magasin de données d'événements CloudTrail Lake ne peut pas utiliser les clés de condition `aws:SourceArn` ou`aws:SourceAccount`. Voici un exemple de politique de clé KMS pour un magasin de données d'événement.
```
{
"Sid": "AllowCloudTrailEncryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
## Octroi d'autorisations de déchiffrement pour les sentiers
Avant d'ajouter votre clé KMS à votre CloudTrail configuration, il est important d'accorder des autorisations de déchiffrement à tous les utilisateurs qui en ont besoin. Les utilisateurs disposant d'autorisations de chiffrement, mais pas de déchiffrement ne peuvent pas lire les journaux chiffrés. Si vous utilisez un compartiment S3 existant avec une clé [S3 Bucket Key](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) (Clé de compartiment S3), les autorisations `kms:Decrypt` sont nécessaires pour créer ou mettre à jour un journal de suivi en utilisant le chiffrement SSE-KMS activé.
**Activer les autorisations de déchiffrement du CloudTrail journal**
Les utilisateurs de votre clé doivent détenir des autorisations explicites pour lire les fichiers journaux que CloudTrail a chiffrés. Pour permettre aux utilisateurs de lire les journaux chiffrés, ajoutez l'instruction obligatoire suivante à votre stratégie de clé KMS, en modifiant la section `Principal` pour ajouter une ligne pour chaque principal que vous souhaitez pouvoir déchiffrer en utilisant votre clé KMS.
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Voici un exemple de politique requise pour autoriser le principal du CloudTrail service à déchiffrer les journaux de suivi.
```
{
"Sid": "AllowCloudTrailDecryptTrail",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
### Autoriser les utilisateurs de votre compte à déchiffrer les journaux de suivi avec votre clé KMS
**Exemple**
Cette déclaration de politique illustre la façon d'autoriser un utilisateur ou un rôle dans votre compte à utiliser votre clé pour lire les journaux chiffrés dans le compartiment S3 de votre compte.
**Example Scénario**
+ Votre clé KMS, votre compartiment S3 et l'utilisateur IAM Bob se trouvent dans le compte `111111111111`.
+ Vous autorisez Bob, utilisateur IAM, à déchiffrer CloudTrail les journaux dans le compartiment S3.
Dans la politique clé, vous activez les autorisations de déchiffrement du CloudTrail journal pour l'utilisateur IAM Bob.
Déclaration de politique de clé KMS :
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/Bob"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**Topics**
### Autoriser les utilisateurs d'autres comptes à déchiffrer les journaux de suivi avec votre clé KMS
Vous pouvez autoriser les utilisateurs d'autres comptes à utiliser votre clé KMS pour déchiffrer les journaux de suivi. Les modifications à apporter à votre politique de clé dépendent du fait que le compartiment S3 se trouve dans votre compte ou dans un autre compte.
#### Autoriser les utilisateurs d’un compartiment dans un autre compte à déchiffrer les journaux
**Exemple**
Cette déclaration de politique montre comment autoriser un utilisateur IAM ou un rôle dans un autre compte à utiliser votre clé pour lire des journaux chiffrés d’un compartiment S3 dans l’autre compte.
**Scénario**
+ Votre clé KMS se trouve dans le compte `111111111111`.
+ L'utilisatrice IAM Alice et le compartiment S3 sont dans le compte `222222222222`.
Dans ce cas, vous CloudTrail autorisez le déchiffrement des journaux sous compte`222222222222`, et vous autorisez la politique utilisateur IAM d'Alice à utiliser votre clé`KeyA`, qui est enregistrée dans le compte. `111111111111`
Déclaration de stratégie de clé KMS :
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:root"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:111111111111:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Déclaration de politique utilisateur IAM d’Alice :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111111111111:key/KeyA"
}
]
}
```
------
#### Autoriser les utilisateurs d'un autre compte à déchiffrer les journaux de suivi de votre compartiment
**Example**
Cette politique illustre la façon dont un autre compte peut utiliser votre clé pour lire les journaux chiffrés à partir de votre compartiment S3.
**Example Scénario**
+ Votre clé KMS et le compartiment S3 sont dans le compte `111111111111`.
+ L'utilisateur qui lit les journaux dans votre compartiment est dans le compte `222222222222`.
Pour activer ce scénario, vous activez les autorisations de déchiffrement pour le rôle IAM **CloudTrailReadRole**dans votre compte, puis vous autorisez l'autre compte à assumer ce rôle.
Déclaration de politique de clé KMS :
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:role/CloudTrailReadRole"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**CloudTrailReadRole**déclaration de politique relative aux entités de confiance :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CloudTrail access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::222222222222:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pour plus d'informations sur la modification d'une politique de clé KMS à utiliser avec CloudTrail, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) dans le *guide du AWS Key Management Service développeur*.
## Octroi d'autorisations de déchiffrement pour les magasins de données d'événements
Une politique de déchiffrement pour une clé KMS utilisée avec un magasin de données d'événements CloudTrail Lake est similaire à la suivante. L'utilisateur ou le rôle ARNs spécifié sous forme de valeurs `Principal` nécessite des autorisations de déchiffrement pour créer ou mettre à jour des banques de données d'événements, exécuter des requêtes ou obtenir des résultats de requêtes.
```
{
"Sid": "EnableUserKeyPermissionsEds"
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
Voici un exemple de politique requise pour permettre au principal du CloudTrail service de déchiffrer un magasin de données d'événements.
```
{
"Sid": "AllowCloudTrailDecryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
## Activer CloudTrail pour décrire les propriétés des clés KMS
CloudTrail nécessite la capacité de décrire les propriétés de la clé KMS. Pour activer cette fonctionnalité, ajoutez l’instruction obligatoire suivante telle quelle à votre politique de clé KMS. Cette déclaration n'accorde CloudTrail aucune autorisation au-delà des autres autorisations que vous spécifiez.
Comme bonne pratique en matière de sécurité, ajoutez une clé de condition `aws:SourceArn` à la politique de clé KMS. La clé de condition globale IAM `aws:SourceArn` permet de garantir que la clé KMS est CloudTrail utilisée uniquement pour un ou plusieurs sentiers spécifiques.
```
{
"Sid": "AllowCloudTrailAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Pour plus d’informations sur la modification des politiques de clé KMS, consultez [Modification d’une politique de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) dans le *Guide du développeur AWS Key Management Service *.
# Politique de clé KMS par défaut créée dans CloudTrail la console
Si vous créez un AWS KMS key dans la CloudTrail console, les politiques suivantes sont automatiquement créées pour vous. La politique permet les autorisations suivantes :
+ Autorise les autorisations Compte AWS (root) pour la clé KMS.
+ Permet CloudTrail de chiffrer les fichiers journaux et de digérer les fichiers sous la clé KMS et de décrire la clé KMS.
+ Permet à tous les utilisateurs des comptes spécifiés de déchiffrer les fichiers journaux et de digérer les fichiers.
+ Autorise tous les utilisateurs dans le compte spécifié à créer un alias KMS pour la clé KMS.
+ Active le déchiffrement de journaux entre comptes pour l’ID de compte du compte qui a créé le journal d’activité.
**Topics**
+ [Politique de clé KMS par défaut pour les journaux de suivi](#default-kms-key-policy-trail)
+ [Politique de clé KMS par défaut pour les magasins de données d'événements CloudTrail Lake](#default-kms-key-policy-eds)
## Politique de clé KMS par défaut pour les journaux de suivi
Voici la politique par défaut créée pour un AWS KMS key que vous utilisez avec un trail.
**Note**
La politique inclut une déclaration autorisant les comptes croisés à déchiffrer les fichiers journaux et à digérer les fichiers à l'aide de la clé KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:root",
"arn:aws:iam::111111111111:user/username"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
}
]
}
```
------
## Politique de clé KMS par défaut pour les magasins de données d'événements CloudTrail Lake
Voici la politique par défaut créée pour un AWS KMS key que vous utilisez avec un magasin de données d'événements dans CloudTrail Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111:assumed-role/example-role-name"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------