Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail
Anda dapat membuat AWS KMS key dalam tiga cara:
+ CloudTrail Konsol
+ Konsol AWS Manajemen
+ The AWS CLI
**catatan**
Jika Anda membuat kunci KMS di CloudTrail konsol, CloudTrail tambahkan kebijakan kunci KMS yang diperlukan untuk Anda. Anda tidak perlu menambahkan pernyataan kebijakan secara manual. Lihat [Kebijakan kunci KMS default dibuat di konsol CloudTrail](default-kms-key-policy.md).
Jika Anda membuat kunci KMS di Konsol Manajemen AWS atau AWS CLI, Anda harus menambahkan bagian kebijakan ke kunci sehingga Anda dapat menggunakannya dengan CloudTrail. Kebijakan harus mengizinkan penggunaan kunci CloudTrail untuk mengenkripsi file log, mencerna file, dan penyimpanan data peristiwa, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dan mencerna file dalam bentuk yang tidak terenkripsi.
Lihat sumber daya berikut:
+ Untuk membuat kunci KMS dengan tombol AWS CLI, lihat [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
+ Untuk mengedit kebijakan kunci KMS CloudTrail, lihat [Mengedit Kebijakan Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di *Panduan AWS Key Management Service Pengembang*.
+ Untuk detail teknis tentang cara CloudTrail penggunaan AWS KMS, lihat[Bagaimana AWS CloudTrail menggunakan AWS KMS](how-kms-works-with-cloudtrail.md).
**Topics**
+ [Bagian kebijakan kunci KMS yang diperlukan untuk digunakan dengan CloudTrail](#create-kms-key-policy-for-cloudtrail-policy-sections)
+ [Memberikan izin enkripsi untuk jalur](#create-kms-key-policy-for-cloudtrail-encrypt)
+ [Memberikan izin enkripsi untuk penyimpanan data acara](#create-kms-key-policy-for-cloudtrail-encrypt-eds)
+ [Memberikan izin dekripsi untuk jalur](#create-kms-key-policy-for-cloudtrail-decrypt)
+ [Memberikan izin dekripsi untuk penyimpanan data acara](#create-kms-key-policy-for-cloudtrail-decrypt-eds)
+ [Aktifkan CloudTrail untuk menggambarkan properti kunci KMS](#create-kms-key-policy-for-cloudtrail-describe)
+ [Kebijakan kunci KMS default dibuat di konsol CloudTrail](default-kms-key-policy.md)
## Bagian kebijakan kunci KMS yang diperlukan untuk digunakan dengan CloudTrail
Jika Anda membuat kunci KMS dengan konsol AWS Manajemen atau AWS CLI, maka Anda harus, setidaknya, menambahkan pernyataan berikut ke kebijakan kunci KMS Anda agar dapat bekerja dengannya. CloudTrail
**Topics**
+ [Elemen kebijakan kunci KMS yang diperlukan untuk jalur](#required-kms-key-policy-trails)
+ [Diperlukan elemen kebijakan kunci KMS untuk penyimpanan data acara](#required-kms-key-policy-eventdatastores)
### Elemen kebijakan kunci KMS yang diperlukan untuk jalur
1. Berikan izin untuk mengenkripsi CloudTrail log dan mencerna file. Untuk informasi selengkapnya, lihat [Memberikan izin enkripsi untuk jalur](#create-kms-key-policy-for-cloudtrail-encrypt).
1. Berikan izin untuk mendekripsi CloudTrail log dan mencerna file. Untuk informasi selengkapnya, lihat [Memberikan izin dekripsi untuk jalur](#create-kms-key-policy-for-cloudtrail-decrypt). Jika Anda menggunakan bucket S3 yang sudah ada dengan [Kunci Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), `kms:Decrypt` izin diperlukan untuk membuat atau memperbarui jejak dengan enkripsi SSE-KMS diaktifkan.
1. Aktifkan CloudTrail untuk menggambarkan properti kunci KMS. Untuk informasi selengkapnya, lihat [Aktifkan CloudTrail untuk menggambarkan properti kunci KMS](#create-kms-key-policy-for-cloudtrail-describe).
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur atau jalur tertentu. Nilai `aws:SourceArn` selalu jejak ARN (atau array jejak ARNs) yang menggunakan kunci KMS. Pastikan untuk menambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS untuk jalur yang ada.
Kunci `aws:SourceAccount` kondisi juga didukung, tetapi tidak disarankan. Nilai `aws:SourceAccount` adalah ID akun pemilik jejak, atau untuk jalur organisasi, ID akun manajemen.
**penting**
Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan.
Jika enkripsi diaktifkan pada jejak, dan kunci KMS dinonaktifkan, atau kebijakan kunci KMS tidak dikonfigurasi dengan benar CloudTrail, tidak CloudTrail dapat mengirimkan log.
### Diperlukan elemen kebijakan kunci KMS untuk penyimpanan data acara
1. Berikan izin untuk mengenkripsi penyimpanan data acara CloudTrail Lake. Untuk informasi selengkapnya, lihat [Memberikan izin enkripsi untuk penyimpanan data acara](#create-kms-key-policy-for-cloudtrail-encrypt-eds).
1. Berikan izin untuk mendekripsi penyimpanan data acara CloudTrail Lake. Untuk informasi selengkapnya, lihat [Memberikan izin dekripsi untuk penyimpanan data acara](#create-kms-key-policy-for-cloudtrail-decrypt-eds).
Saat Anda membuat penyimpanan data acara dan mengenkripsi dengan kunci KMS, atau menjalankan kueri pada penyimpanan data acara yang Anda enkripsi dengan kunci KMS, Anda harus memiliki akses tulis ke kunci KMS. Kebijakan kunci KMS harus memiliki akses ke CloudTrail, dan kunci KMS harus dapat dikelola oleh pengguna yang menjalankan operasi (seperti kueri) pada penyimpanan data peristiwa.
1. Aktifkan CloudTrail untuk menggambarkan properti kunci KMS. Untuk informasi selengkapnya, lihat [Aktifkan CloudTrail untuk menggambarkan properti kunci KMS](#create-kms-key-policy-for-cloudtrail-describe).
Kunci `aws:SourceArn` dan `aws:SourceAccount` kondisi tidak didukung dalam kebijakan kunci KMS untuk penyimpanan data peristiwa.
**penting**
Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan.
Jika enkripsi diaktifkan pada penyimpanan data peristiwa, dan kunci KMS dinonaktifkan atau dihapus, atau kebijakan kunci KMS tidak dikonfigurasi dengan benar CloudTrail, tidak CloudTrail dapat mengirimkan peristiwa ke penyimpanan data acara Anda.
## Memberikan izin enkripsi untuk jalur
**Example Izinkan CloudTrail untuk mengenkripsi file log dan mencerna file atas nama akun tertentu**
CloudTrail memerlukan izin eksplisit untuk menggunakan kunci KMS untuk mengenkripsi file log dan mencerna file atas nama akun tertentu. Untuk menentukan akun, tambahkan pernyataan wajib berikut ke kebijakan kunci KMS Anda dan ganti *account-id**region*, dan *trailName* dengan nilai yang sesuai untuk konfigurasi Anda. Anda dapat menambahkan akun tambahan IDs ke `EncryptionContext` bagian untuk mengaktifkan akun tersebut untuk digunakan CloudTrail untuk menggunakan kunci KMS Anda untuk mengenkripsi file log dan mencerna file.
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS untuk jejak. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur atau jalur tertentu.
```
{
"Sid": "AllowCloudTrailEncryptLogs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
}
}
}
```
**Example**
Contoh pernyataan kebijakan berikut menggambarkan bagaimana akun lain dapat menggunakan kunci KMS Anda untuk mengenkripsi file CloudTrail log dan mencerna file.
**Skenario**
+ Kunci KMS Anda ada di akun*111111111111*.
+ Baik Anda dan akun *222222222222* akan mengenkripsi log.
Dalam kebijakan, Anda menambahkan satu atau beberapa akun yang mengenkripsi dengan kunci Anda ke akun. CloudTrail **EncryptionContext** Ini membatasi penggunaan kunci Anda CloudTrail untuk mengenkripsi file log dan mencerna file hanya untuk akun yang Anda tentukan. Ketika Anda memberikan *222222222222* izin root akun untuk mengenkripsi file log dan mencerna file, itu mendelegasikan izin ke administrator akun untuk mengenkripsi izin yang diperlukan untuk pengguna lain di akun itu. Administrator akun melakukan ini dengan mengubah kebijakan yang terkait dengan pengguna IAM tersebut.
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur yang ditentukan. Kondisi ini tidak didukung dalam kebijakan kunci KMS untuk penyimpanan data peristiwa.
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableCloudTrailEncryptPermissions",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": [
"arn:aws:cloudtrail:*:111111111111:trail/*",
"arn:aws:cloudtrail:*:222222222222:trail/*"
]
},
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Untuk informasi selengkapnya tentang mengedit kebijakan kunci KMS untuk digunakan CloudTrail, lihat [Mengedit kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di Panduan AWS Key Management Service Pengembang.
## Memberikan izin enkripsi untuk penyimpanan data acara
Kebijakan untuk kunci KMS yang digunakan untuk mengenkripsi penyimpanan data peristiwa CloudTrail Lake tidak dapat menggunakan kunci `aws:SourceArn` kondisi atau. `aws:SourceAccount` Berikut ini adalah contoh kebijakan kunci KMS untuk penyimpanan data acara.
```
{
"Sid": "AllowCloudTrailEncryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
## Memberikan izin dekripsi untuk jalur
Sebelum Anda menambahkan kunci KMS ke CloudTrail konfigurasi Anda, penting untuk memberikan izin dekripsi kepada semua pengguna yang membutuhkannya. Pengguna yang memiliki izin enkripsi tetapi tidak memiliki izin dekripsi tidak dapat membaca log terenkripsi. Jika Anda menggunakan bucket S3 yang sudah ada dengan [Kunci Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), `kms:Decrypt` izin diperlukan untuk membuat atau memperbarui jejak dengan enkripsi SSE-KMS diaktifkan.
**Aktifkan CloudTrail izin dekripsi log**
Pengguna kunci Anda harus diberikan izin eksplisit untuk membaca file log yang CloudTrail telah dienkripsi. Untuk memungkinkan pengguna membaca log terenkripsi, tambahkan pernyataan wajib berikut ke kebijakan kunci KMS Anda, modifikasi `Principal` bagian untuk menambahkan baris untuk setiap prinsipal yang ingin Anda dekripsi dengan menggunakan kunci KMS Anda.
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Berikut ini adalah contoh kebijakan yang diperlukan untuk mengizinkan kepala CloudTrail layanan mendekripsi log jejak.
```
{
"Sid": "AllowCloudTrailDecryptTrail",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
### Izinkan pengguna di akun Anda untuk mendekripsi log jejak dengan kunci KMS Anda
**Contoh**
Pernyataan kebijakan ini menggambarkan cara mengizinkan pengguna atau peran di akun Anda menggunakan kunci Anda untuk membaca log terenkripsi di bucket S3 akun Anda.
**Example Skenario**
+ Kunci KMS Anda, ember S3, dan pengguna IAM Bob ada di akun. `111111111111`
+ Anda memberi izin kepada pengguna IAM Bob untuk mendekripsi CloudTrail log di bucket S3.
Dalam kebijakan utama, Anda mengaktifkan izin dekripsi CloudTrail log untuk pengguna IAM Bob.
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/Bob"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**Topics**
### Izinkan pengguna di akun lain untuk mendekripsi log jejak dengan kunci KMS Anda
Anda dapat mengizinkan pengguna di akun lain untuk menggunakan kunci KMS Anda untuk mendekripsi log jejak. Perubahan yang diperlukan pada kebijakan utama Anda bergantung pada apakah bucket S3 ada di akun Anda atau di akun lain.
#### Izinkan pengguna bucket di akun lain untuk mendekripsi log
**Contoh**
Pernyataan kebijakan ini menggambarkan cara mengizinkan pengguna IAM atau peran di akun lain untuk menggunakan kunci Anda untuk membaca log terenkripsi dari bucket S3 di akun lain.
**Skenario**
+ Kunci KMS Anda ada di akun`111111111111`.
+ Pengguna IAM Alice dan ember S3 ada di akun. `222222222222`
Dalam hal ini, Anda memberikan CloudTrail izin untuk mendekripsi log di bawah akun`222222222222`, dan Anda memberikan izin kebijakan pengguna IAM Alice untuk menggunakan kunci Anda`KeyA`, yang ada di akun. `111111111111`
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:root"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:111111111111:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Pernyataan kebijakan pengguna IAM Alice:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111111111111:key/KeyA"
}
]
}
```
------
#### Izinkan pengguna di akun lain untuk mendekripsi log jejak dari bucket Anda
**Example**
Kebijakan ini menggambarkan bagaimana akun lain dapat menggunakan kunci Anda untuk membaca log terenkripsi dari bucket S3 Anda.
**Example Skenario**
+ Kunci KMS dan bucket S3 Anda ada di akun. `111111111111`
+ Pengguna yang membaca log dari bucket Anda ada di akun`222222222222`.
Untuk mengaktifkan skenario ini, Anda mengaktifkan izin dekripsi untuk peran IAM **CloudTrailReadRole**di akun Anda, lalu berikan izin akun lain untuk mengambil peran tersebut.
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:role/CloudTrailReadRole"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**CloudTrailReadRole**pernyataan kebijakan entitas kepercayaan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CloudTrail access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::222222222222:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk informasi tentang mengedit kebijakan kunci KMS untuk digunakan CloudTrail, lihat [Mengedit Kebijakan Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di *Panduan AWS Key Management Service Pengembang*.
## Memberikan izin dekripsi untuk penyimpanan data acara
Kebijakan dekripsi untuk kunci KMS yang digunakan dengan penyimpanan data peristiwa CloudTrail Lake mirip dengan yang berikut ini. Pengguna atau peran ARNs yang ditentukan sebagai nilai untuk `Principal` perlu mendekripsi izin untuk membuat atau memperbarui penyimpanan data peristiwa, menjalankan kueri, atau mendapatkan hasil kueri.
```
{
"Sid": "EnableUserKeyPermissionsEds"
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
Berikut ini adalah contoh kebijakan yang diperlukan untuk memungkinkan kepala CloudTrail layanan mendekripsi penyimpanan data peristiwa.
```
{
"Sid": "AllowCloudTrailDecryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
## Aktifkan CloudTrail untuk menggambarkan properti kunci KMS
CloudTrail membutuhkan kemampuan untuk menggambarkan sifat-sifat kunci KMS. Untuk mengaktifkan fungsi ini, tambahkan pernyataan wajib berikut sebagaimana adanya ke kebijakan kunci KMS Anda. Pernyataan ini tidak memberikan izin CloudTrail apa pun di luar izin lain yang Anda tentukan.
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur atau jalur tertentu.
```
{
"Sid": "AllowCloudTrailAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Untuk informasi selengkapnya tentang mengedit kebijakan kunci KMS, lihat [Mengedit Kebijakan Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di *Panduan AWS Key Management Service Pengembang*.
# Kebijakan kunci KMS default dibuat di konsol CloudTrail
Jika Anda membuat AWS KMS key di CloudTrail konsol, kebijakan berikut akan dibuat secara otomatis untuk Anda. Kebijakan ini mengizinkan izin ini:
+ Mengizinkan izin Akun AWS (root) untuk kunci KMS.
+ Memungkinkan CloudTrail untuk mengenkripsi file log dan mencerna file di bawah kunci KMS dan menjelaskan kunci KMS.
+ Memungkinkan semua pengguna di akun yang ditentukan untuk mendekripsi file log dan mencerna file.
+ Memungkinkan semua pengguna di akun yang ditentukan untuk membuat alias KMS untuk kunci KMS.
+ Mengaktifkan dekripsi log lintas akun untuk ID akun akun yang membuat jejak.
**Topics**
+ [Kebijakan kunci KMS default untuk jalur](#default-kms-key-policy-trail)
+ [Kebijakan kunci KMS default untuk penyimpanan data acara CloudTrail Lake](#default-kms-key-policy-eds)
## Kebijakan kunci KMS default untuk jalur
Berikut ini adalah kebijakan default yang dibuat untuk AWS KMS key yang Anda gunakan dengan jejak.
**catatan**
Kebijakan tersebut mencakup pernyataan untuk mengizinkan lintas akun mendekripsi file log dan mencerna file dengan kunci KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:root",
"arn:aws:iam::111111111111:user/username"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
}
]
}
```
------
## Kebijakan kunci KMS default untuk penyimpanan data acara CloudTrail Lake
Berikut ini adalah kebijakan default yang dibuat untuk AWS KMS key yang Anda gunakan dengan penyimpanan data peristiwa di CloudTrail Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111:assumed-role/example-role-name"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------