

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트
<a name="create-kms-key-policy-for-cloudtrail-update-trail"></a>

CloudTrail 콘솔에서 KMS 키를 사용하도록 추적 또는 이벤트 데이터 스토어를 업데이트합니다. 자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.

**Topics**
+ [KMS 키를 사용하도록 추적 업데이트](#kms-key-policy-update-trail)
+ [KMS 키를 사용하도록 이벤트 데이터 스토어 업데이트](#kms-key-policy-update-eds)

## KMS 키를 사용하도록 추적 업데이트
<a name="kms-key-policy-update-trail"></a>

CloudTrail에 대해 수정 AWS KMS key 한를 사용하도록 추적을 업데이트하려면 CloudTrail 콘솔에서 다음 단계를 완료합니다.

**참고**  
[S3 버킷 키](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)와 함께 기존 S3 버킷을 사용하는 경우 키 정책에서 AWS KMS 작업인 `GenerateDataKey` 및 `DescribeKey`를 사용할 수 있는 권한이 CloudTrail에 허용되어야 합니다. 키 정책에서 이러한 권한이 `cloudtrail.amazonaws.com`에 부여되지 않은 경우 추적을 생성하거나 업데이트할 수 없습니다.

를 사용하여 추적을 업데이트하려면 섹션을 AWS CLI참조하세요[를 사용하여 CloudTrail 로그 파일, 다이제스트 파일 및 이벤트 데이터 스토어에 대한 암호화 활성화 및 비활성화 AWS CLI](cloudtrail-log-file-encryption-cli.md).

**KMS 키를 사용하도록 추적을 업데이트하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. [**추적(Trails)**]을 선택한 다음, 추적 이름을 선택합니다.

1. [**일반 세부 정보(General details)**]에서 [**편집(Edit)**]을 선택합니다.

1. SSE-S3 암호화 대신 SSE-KMS 암호화를 사용하여 로그 파일 및 다이제스트 파일을 암호화하려면 **로그 파일 SSE-KMS 암호화**에서 **사용**을 선택합니다. 기본값은 [**사용(Enabled)**]입니다. SSE-KMS 암호화를 활성화하지 않으면 로그 파일 및 다이제스트 파일은 SSE-S3 암호화를 사용하여 암호화합니다. SSE-KMS 암호화에 대한 자세한 내용은 [AWS Key Management Service (SSE-KMS)를 사용한 서버 측 암호화 사용을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 참조하세요. SSE-S3 암호화에 대한 자세한 내용은 [Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)을 참조하세요.

   [**기존(Existing)**]을 선택하여 AWS KMS key를 사용한 추적을 업데이트합니다. 로그 파일을 수신하는 S3 버킷과 동일한 리전에 있는 KMS 키를 선택합니다. S3 버킷에 대한 리전을 검증하려면, S3 콘솔의 속성을 확인하세요.
**참고**  
다른 계정에 있는 키의 ARN을 입력할 수도 있습니다. 자세한 내용은 [콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트](#create-kms-key-policy-for-cloudtrail-update-trail) 단원을 참조하십시오. 키 정책은 CloudTrail이 키를 사용하여 로그 파일 및 다이제스트 파일을 암호화하고 지정한 사용자가 암호화되지 않은 형태로 로그 파일 또는 다이제스트 파일을 읽을 수 있도록 허용해야 합니다. 키 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md)을 참조하세요.

   **AWS KMS Alias**(별칭)에서 CloudTrail에서 사용하기 위해 변경한 정책의 별칭을 `alias/`{{MyAliasName}} 형식으로 지정합니다. 자세한 내용은 [콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트](#create-kms-key-policy-for-cloudtrail-update-trail)을 참조하세요.

   별칭 이름, ARN 또는 전역적으로 고유한 키 ID를 입력할 수 있습니다. KMS 키가 다른 계정에 속한 경우 해당 키를 사용할 수 있는 권한이 키 정책에 있는지 확인합니다. 값은 다음 형식 중 하나일 수 있습니다.
   + **별칭 이름**: `alias/{{MyAliasName}}`
   + **별칭 ARN**: `arn:aws:kms:{{region}}:123456789012:alias/{{MyAliasName}}` 
   + **키 ARN**: `arn:aws:kms:{{region}}:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **전역적으로 고유한 키 ID**: `12345678-1234-1234-1234-123456789012` 

1. [**추적 업데이트(Update trail)**]를 선택합니다.
**참고**  
선택한 KMS 키가 사용 중지되었거나 삭제 대기 중인 경우 해당 KMS 키를 사용한 추적을 저장할 수 없습니다. KMS 키를 사용 설정하거나 다른 KMS 키를 선택할 수 있습니다. 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [키 상태: KMS 키에 미치는 영향](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html)을 참조하세요.

## KMS 키를 사용하도록 이벤트 데이터 스토어 업데이트
<a name="kms-key-policy-update-eds"></a>

CloudTrail에 대해 AWS KMS key 수정한를 사용하도록 이벤트 데이터 스토어를 업데이트하려면 CloudTrail 콘솔에서 다음 단계를 완료합니다.

를 사용하여 이벤트 데이터 스토어를 업데이트하려면 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 업데이트 AWS CLI](lake-cli-update-eds.md).

**중요**  
KMS 키를 사용 중지 또는 삭제하거나 키에 대한 CloudTrail 권한을 제거하면 CloudTrail이 이벤트 데이터 스토어로 이벤트를 수집할 수 없으며 사용자가 키로 암호화된 이벤트 데이터 스토어의 데이터를 쿼리할 수 없습니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다. 이벤트 데이터 스토어에 사용 중인 KMS 키를 사용하지 않거나 삭제하기 전에 이벤트 데이터 스토어를 삭제하거나 백업합니다.

**KMS 키를 사용하도록 이벤트 데이터 스토어를 업데이트하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창에서 **Lake**의 **Event data stores**(이벤트 데이터 스토어)를 선택합니다. 업데이트할 이벤트 데이터 스토어를 선택합니다.

1. [**일반 세부 정보(General details)**]에서 [**편집(Edit)**]을 선택합니다.

1. **암호화**에서 아직 사용하지 않은 경우 **자체 AWS KMS key사용**을 선택하여 자체 KMS 키로 이벤트 데이터 스토어를 암호화합니다.

   **Existing**(기존)을 선택하여 KMS 키로 이벤트 데이터 스토어를 업데이트합니다. 이벤트 데이터 스토어와 동일한 리전에 있는 KMS 키를 선택합니다. 다른 계정의 키는 지원하지 않습니다.

   ** AWS KMS 별칭 입력**에서 CloudTrail에서 사용할 정책을 변경한 별칭을 `alias/`{{MyAliasName}} 형식으로 지정합니다. 자세한 내용은 [콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트](#create-kms-key-policy-for-cloudtrail-update-trail) 단원을 참조하십시오.

   별칭을 선택하거나 전역적 고유 키 ID를 사용할 수 있습니다. 값은 다음 형식 중 하나일 수 있습니다.
   + **별칭 이름**: `alias/{{MyAliasName}}`
   + **별칭 ARN**: `arn:aws:kms:{{region}}:123456789012:alias/{{MyAliasName}}` 
   + **키 ARN**: `arn:aws:kms:{{region}}:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **전역적으로 고유한 키 ID**: `12345678-1234-1234-1234-123456789012` 

1. **변경 사항 저장**을 선택합니다.
**참고**  
선택한 KMS 키를 사용 중지되었거나 삭제 대기 중인 경우 해당 KMS 키를 사용한 이벤트 데이터 스토어 구성을 저장할 수 없습니다. KMS 키를 사용하거나 다른 키를 선택할 수 있습니다. 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [키 상태: KMS 키에 미치는 영향](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html)을 참조하세요.