Habilitar a criptografia para arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com a AWS CLI Desabilitar a criptografia para arquivos de log e arquivos de resumo usando a AWS CLI

Habilitar e desabilitar a criptografia para arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com a AWS CLI

Este tópico descreve como habilitar e desabilitar a criptografia SSE-KMS para arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com a AWS CLI. Para obter informações básicas, consulte Criptografar arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com chaves do AWS KMS (SSE-KMS).

Tópicos

Habilitar a criptografia para arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com a AWS CLI
Desabilitar a criptografia para arquivos de log e arquivos de resumo usando a AWS CLI

Habilitar a criptografia para arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com a AWS CLI

Habilitar a criptografia para arquivos de log e arquivos de resumo para uma trilha
Habilitar a criptografia para um datastore de eventos

Habilitar a criptografia para arquivos de log e arquivos de resumo para uma trilha

Crie uma chave com a AWS CLI. A chave criada deverá estar na mesma região que o bucket do S3 que recebe seus arquivos de log do CloudTrail. Para esta etapa, use o comando create-key do AWS KMS.
Obtenha a política de chaves existente para que você possa modificá-la para utilização com o CloudTrail. Você pode recuperar a política de chaves com o comando get-key-policy do AWS KMS.
Adicione as seções necessárias à política de chave para que o CloudTrail possa criptografar e os usuários possam descriptografar arquivos de log e arquivos de resumo. Garanta que todos os usuários que lerão os arquivos de log tenham recebido permissões de descriptografia. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
Anexe o arquivo JSON modificado de política à chave usando o comando put-key-policy do AWS KMS.
Execute o comando do CloudTrail create-trail ou update-trail com o parâmetro --kms-key-id. Esse comando habilita a criptografia de arquivos de log e arquivos de resumo.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
O parâmetro --kms-key-id especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes formatos:
- Nome do alias. Exemplo: alias/MyAliasName
- ARN do alias. Exemplo: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN da chave. Exemplo: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de chave globalmente exclusivo. Exemplo: 12345678-1234-1234-1234-123456789012
Esta é uma resposta de exemplo:
```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```
A presença do elemento KmsKeyId indica que a criptografia para os arquivos de log foi habilitada. Se a validação de arquivos de log tiver sido habilitada (indicado pelo elemento LogFileValidationEnabled definido como verdadeiro), isso também indica que a criptografia foi habilitada para os arquivos de resumo. Os arquivos de log e os arquivos de resumo criptografados devem aparecer no bucket do S3 configurado para a trilha em aproximadamente 5 minutos.

Habilitar a criptografia para um datastore de eventos

Crie uma chave com a AWS CLI. A chave que você cria precisa estar na mesma região do armazenamento de dados de eventos. Para esta etapa, execute o comando create-key do AWS KMS.
Obtenha a política de chaves existente a fim de editá-la para uso com o CloudTrail. Você pode obter a política de chaves executando o comando get-key-policy do AWS KMS.
Adicione as seções necessárias à política de chave para que o CloudTrail possa criptografar e os usuários possam descriptografar seu datastore de eventos. Certifique-se de que todos os usuários que acessam o datastore de eventos tenham permissão para descriptografar. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
Anexe o arquivo JSON editado de política à chave executando o comando put-key-policy do AWS KMS.
Execute o comando create-event-data-store ou update-event-data-store do CloudTrail e adicione o parâmetro --kms-key-id. Esse comando habilita a criptografia do datastore de eventos.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
O parâmetro --kms-key-id especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes quatro formatos:
- Nome do alias. Exemplo: alias/MyAliasName
- ARN do alias. Exemplo: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName
- ARN da chave. Exemplo: arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
- ID de chave globalmente exclusivo. Exemplo: 12345678-1234-1234-1234-123456789012
Esta é uma resposta de exemplo:
```
{
    "Name": "my-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "RetentionPeriod": "90",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "TerminationProtectionEnabled": true,
    "AdvancedEventSelectors": [{
        "Name": "Select all external events",
        "FieldSelectors": [{
            "Field": "eventCategory",
            "Equals": [
                "ActivityAuditLog"
            ]
        }]
    }]
}
```
A presença do elemento KmsKeyId indica que a criptografia para datastores de eventos foi habilitada.

Desabilitar a criptografia para arquivos de log e arquivos de resumo usando a AWS CLI

Para interromper a criptografia de arquivos de log e arquivos de resumo de uma trilha, execute update-trail e passe uma string vazia para o parâmetro kms-key-id:


aws cloudtrail update-trail --name my-test-trail --kms-key-id ""

Esta é uma resposta de exemplo:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "Default", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", 
    "LogFileValidationEnabled": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

A ausência do valor KmsKeyId indica que a criptografia para arquivos de log e arquivos de resumo não está mais habilitada.

Importante

Não é possível interromper a criptografia para datastore de eventos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atualizar um recurso para usar sua chave do KMS com o console

Como o AWS CloudTrail usa o AWS KMS