Abilitazione della crittografia per file di CloudTrail log, file digest e archivi di dati di eventi utilizzando il AWS CLI Disattivazione della crittografia per i file di registro e i file digest utilizzando il AWS CLI

Abilitazione e disabilitazione della crittografia per file di CloudTrail registro, file digest e archivi di dati di eventi con AWS CLI

Questo argomento descrive come abilitare e disabilitare la crittografia SSE-KMS per file di CloudTrail registro, file digest e archivi dati di eventi utilizzando. AWS CLI Per informazioni generali, consulta Crittografia di file di CloudTrail registro, file digest e archivi dati di eventi con AWS KMS chiavi (SSE-KMS).

Argomenti

Abilitazione della crittografia per file di CloudTrail log, file digest e archivi di dati di eventi utilizzando il AWS CLI
Disattivazione della crittografia per i file di registro e i file digest utilizzando il AWS CLI

Abilitazione della crittografia per file di CloudTrail log, file digest e archivi di dati di eventi utilizzando il AWS CLI

Abilita la crittografia dei file di log e dei file digest per un trail
Abilita la crittografia per un archivio dati di eventi

Abilita la crittografia per i file di registro e i file digest per un percorso

Creare una chiave con la AWS CLI. La chiave che crei deve trovarsi nella stessa regione del bucket S3 che riceve i CloudTrail file di registro. Per questo passaggio, si utilizza il AWS KMS create-keycomando.
Ottieni la politica chiave esistente in modo da poterla modificare per utilizzarla con CloudTrail. È possibile recuperare la politica chiave con il AWS KMS get-key-policycomando.
Aggiungi le sezioni obbligatorie alla policy chiave in modo che CloudTrail possa essere crittografata e gli utenti possano decrittografare i file di registro e i file digest. Assicurati che a tutti gli utenti che leggeranno i file di log vengano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta Configura le politiche AWS KMS chiave per CloudTrail.
Allega il file di policy JSON modificato alla chiave utilizzando il comando. AWS KMS put-key-policy
Eseguite il update-trail comando CloudTrail create-trail or con il --kms-key-id parametro. Questo comando consente la crittografia dei file di registro e dei file digest.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
Il parametro --kms-key-id specifica la chiave con la policy modificata per CloudTrail. Può avere uno qualsiasi dei seguenti formati:
- Nome alias. Ad esempio: alias/MyAliasName
- ARN alias. Ad esempio: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN chiave. Ad esempio: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- ID chiave univoco a livello globale. Ad esempio: 12345678-1234-1234-1234-123456789012
Di seguito è riportata una risposta di esempio:
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```
La presenza dell'KmsKeyIdelemento indica che la crittografia dei file di registro è stata abilitata. Se la convalida dei file di registro è stata abilitata (indicata dall'LogFileValidationEnabledelemento impostato su true), ciò indica anche che la crittografia è stata abilitata per i file digest. I file di log e i file digest crittografati dovrebbero apparire nel bucket S3 configurato per il trail entro circa 5 minuti.

Abilita la crittografia per un archivio dati di eventi

Creare una chiave con la AWS CLI. La chiave che hai creato deve trovarsi nella stessa Regione del datastore di eventi. Per questo passaggio, esegui il AWS KMS create-keycomando.
Ottieni la politica chiave esistente da modificare e con cui utilizzarla CloudTrail. È possibile ottenere la politica chiave eseguendo il AWS KMS get-key-policycomando.
Aggiungi le sezioni obbligatorie alla policy chiave in modo che sia CloudTrail possibile crittografare e che gli utenti possano decrittografare il data store degli eventi. Assicurati che a tutti gli utenti che leggono l'Event Data Store siano concesse le autorizzazioni di decrittografia. Non modificare le sezioni esistenti della policy. Per informazioni sulle sezioni della policy da includere, consulta Configura le politiche AWS KMS chiave per CloudTrail.
Allega il file di policy JSON modificato alla chiave eseguendo il comando. AWS KMS put-key-policy
Eseguite il update-event-data-store comando CloudTrail create-event-data-store or e aggiungete il --kms-key-id parametro. Questo comando abilita la crittografia dell'archivio dati degli eventi.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
Il parametro --kms-key-id specifica la chiave con la policy modificata per CloudTrail. Può avere uno qualsiasi dei seguenti quattro formati:
- Nome alias. Ad esempio: alias/MyAliasName
- ARN alias. Ad esempio: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN chiave. Ad esempio: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- ID chiave univoco a livello globale. Ad esempio: 12345678-1234-1234-1234-123456789012
Di seguito è riportata una risposta di esempio:
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
La presenza dell'KmsKeyIdelemento indica che la crittografia per l'archivio dati degli eventi è stata abilitata.

Disattivazione della crittografia per i file di registro e i file digest utilizzando il AWS CLI

Per interrompere la crittografia dei file di registro e dei file digest per un trail, esegui update-trail e passa una stringa vuota al parametro: kms-key-id


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

Di seguito è riportata una risposta di esempio:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

L'assenza del KmsKeyId valore indica che la crittografia per i file di log e i file digest non è più abilitata.

Importante

Non è possibile interrompere la crittografia per un archivio dati di eventi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiornamento di una risorsa per utilizzare la chiave KMS con la console

Come si AWS CloudTrail usa AWS KMS