기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 를 사용하여 CloudTrail 로그 파일, 다이제스트 파일 및 이벤트 데이터 스토어에 대한 암호화 활성화 및 비활성화 AWS CLI
이 주제에서는 AWS CLI를 사용하여 CloudTrail 로그 파일, 다이제스트 파일 및 이벤트 데이터 스토어에 대한 SSE-KMS 암호화를 활성화 및 비활성화하는 방법을 설명합니다. 배경 정보는 [AWS KMS 키를 사용하여 CloudTrail 로그 파일, 다이제스트 파일 및 이벤트 데이터 스토어 암호화(SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md)를 참조하세요.
**Topics**
+ [를 사용하여 CloudTrail 로그 파일, 다이제스트 파일 및 이벤트 데이터 스토어에 대한 암호화 활성화 AWS CLI](#cloudtrail-log-file-encryption-cli-enable)
+ [를 사용하여 로그 파일 및 다이제스트 파일에 대한 암호화 비활성화 AWS CLI](#cloudtrail-log-file-encryption-cli-disable)
## 를 사용하여 CloudTrail 로그 파일, 다이제스트 파일 및 이벤트 데이터 스토어에 대한 암호화 활성화 AWS CLI
+ [추적에 대한 로그 파일 및 다이제스트 파일 암호화 활성화](#log-encryption-trail)
+ [이벤트 데이터 스토어에 대한 암호화 활성화](#log-encryption-eds)
**추적에 대한 로그 파일 및 다이제스트 파일 암호화 활성화**
1. AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 CloudTrail 로그 파일을 수신하는 S3 버킷과 동일한 리전에 있어야 합니다. 이 단계에서는 AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) 명령을 사용합니다.
1. CloudTrail에 사용하기 위해 수정할 수 있도록 기존 키 정책을 가져옵니다. 명령을 사용하여 키 정책을 검색할 수 있습니다 AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html).
1. CloudTrail이 로그 파일과 다이제스트 파일을 암호화하고 사용자가 이를 복호화할 수 있도록 키 정책에 필요한 섹션을 추가합니다. 로그 파일을 읽는 모든 사용자에게는 복호화 권한을 부여해야 합니다. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md)을 참조하세요.
1. 명령을 사용하여 수정된 JSON 정책 파일을 키에 AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) 연결합니다.
1. `--kms-key-id` 파라미터와 함께 CloudTrail `create-trail` 또는 `update-trail` 명령을 실행합니다. 이 명령은 로그 파일 및 다이제스트 파일의 암호화를 활성화합니다.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
`--kms-key-id` 파라미터는 CloudTrail용으로 수정한 정책의 키를 지정합니다. 이는 다음 형식 중 하나일 수 있습니다.
+ **별칭 이름**. 예시: `alias/MyAliasName`
+ **별칭 ARN**. 예: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **키 ARN**. 예시: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **전역적으로 고유한 키 ID.** 예시: `12345678-1234-1234-1234-123456789012`
다음은 응답의 예입니다.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
"S3BucketName": "amzn-s3-demo-bucket"
}
```
`KmsKeyId` 요소가 있으면 로그 파일 암호화가 활성화되었음을 나타냅니다. 로그 파일 검증이 활성화된 경우(참으로 설정된 `LogFileValidationEnabled` 요소로 표시됨) 다이제스트 파일에 암호화도 활성화되었음을 나타냅니다. 암호화된 로그 파일과 다이제스트 파일은 약 5분 이내에 추적에 대해 구성된 S3 버킷에 나타나야 합니다.
**이벤트 데이터 스토어에 대한 암호화 활성화**
1. AWS CLI를 사용하여 키를 생성합니다. 생성하는 키는 이벤트 데이터 스토어와 동일한 리전에 있어야 합니다. 이 단계에서는 AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) 명령을 실행합니다.
1. CloudTrail에 사용하기 위해 편집할 기존 키 정책을 가져옵니다. 명령을 실행하여 키 정책을 가져올 수 있습니다 AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html).
1. CloudTrail이 이벤트 데이터 스토어를 암호화하고 사용자가 이를 복호화할 수 있도록 키 정책에 필요한 섹션을 추가합니다. 이벤트 데이터 스토어를 읽는 모든 사용자에게 복호화 권한이 부여되었는지 확인하십시오. 정책의 기존 섹션을 수정하지 않습니다. 포함할 정책 섹션에 대한 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md)을 참조하세요.
1. AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) 명령을 실행하여 편집된 JSON 정책 파일을 키에 연결합니다.
1. CloudTrail `create-event-data-store` 또는 `update-event-data-store` 명령을 실행한 다음 `--kms-key-id` 파라미터를 추가합니다. 이 명령은 이벤트 데이터 스토어의 암호화를 활성화합니다.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
`--kms-key-id` 파라미터는 CloudTrail용으로 수정한 정책의 키를 지정합니다. 이는 다음의 4개 형식 중 하나일 수 있습니다.
+ **별칭 이름**. 예시: `alias/MyAliasName`
+ **별칭 ARN**. 예: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **키 ARN**. 예시: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **전역적으로 고유한 키 ID.** 예시: `12345678-1234-1234-1234-123456789012`
다음은 응답의 예입니다.
```
{
"Name": "my-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"RetentionPeriod": "90",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"TerminationProtectionEnabled": true,
"AdvancedEventSelectors": [{
"Name": "Select all external events",
"FieldSelectors": [{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}]
}]
}
```
`KmsKeyId` 요소가 있으면 이벤트 데이터 스토어에 대한 암호화가 활성화되었음을 나타냅니다.
## 를 사용하여 로그 파일 및 다이제스트 파일에 대한 암호화 비활성화 AWS CLI
추적에 대한 로그 파일 및 다이제스트 파일 암호화를 중지하려면 `update-trail`을 실행하고 `kms-key-id` 파라미터에 빈 문자열을 전달합니다.
```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```
다음은 응답의 예입니다.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
`KmsKeyId` 값이 없으면 로그 파일 및 다이제스트 파일에 대한 암호화가 더 이상 활성화되지 않음을 나타냅니다.
**중요**
이벤트 데이터 스토어에 대한 암호화는 중지할 수 없습니다.