As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Ativando e desativando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com o AWS CLI
Este tópico descreve como ativar e desativar a criptografia SSE-KMS para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos usando o. AWS CLI Para obter informações básicas, consulte [Criptografar arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com AWS KMS chaves (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md).
**Topics**
+ [
## Habilitando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos usando o AWS CLI
](#cloudtrail-log-file-encryption-cli-enable)
+ [
## Desabilitando a criptografia para arquivos de log e arquivos de resumo usando o AWS CLI
](#cloudtrail-log-file-encryption-cli-disable)
## Habilitando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos usando o AWS CLI
+ [Habilitar a criptografia para arquivos de log e arquivos de resumo para uma trilha](#log-encryption-trail)
+ [Habilitar a criptografia para um datastore de eventos](#log-encryption-eds)
**Habilitar a criptografia para arquivos de log e arquivos de resumo para uma trilha**
1. Crie uma chave com a AWS CLI. A chave que você cria deve estar na mesma região do bucket do S3 que recebe seus arquivos de CloudTrail log. Para esta etapa, você usa o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.
1. Obtenha a política de chaves existente para que você possa modificá-la para uso com CloudTrail. Você pode recuperar a política de chaves com o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando.
1. Adicione as seções necessárias à política de chaves para que ela CloudTrail possa criptografar e os usuários possam descriptografar seus arquivos de log e arquivos de resumo. Garanta que todos os usuários que lerão os arquivos de log tenham recebido permissões de descriptografia. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte [Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Anexe o arquivo de política JSON modificado à chave usando o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando.
1. Execute o `update-trail` comando CloudTrail `create-trail` or com o `--kms-key-id` parâmetro. Esse comando habilita a criptografia de arquivos de log e arquivos de resumo.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
O parâmetro `--kms-key-id` especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes formatos:
+ **Nome do alias**. Exemplo: `alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias**. Exemplo: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Nome de região da Amazon (ARN) da chave**. Exemplo: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID de chave globalmente exclusivo.** Exemplo: `12345678-1234-1234-1234-123456789012`
Esta é uma resposta de exemplo:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
"S3BucketName": "amzn-s3-demo-bucket"
}
```
A presença do elemento `KmsKeyId` indica que a criptografia para os arquivos de log foi habilitada. Se a validação de arquivos de log tiver sido habilitada (indicado pelo elemento `LogFileValidationEnabled` definido como verdadeiro), isso também indica que a criptografia foi habilitada para os arquivos de resumo. Os arquivos de log e os arquivos de resumo criptografados devem aparecer no bucket do S3 configurado para a trilha em aproximadamente 5 minutos.
**Habilitar a criptografia para um datastore de eventos**
1. Crie uma chave com a AWS CLI. A chave que você cria precisa estar na mesma região do armazenamento de dados de eventos. Para essa etapa, execute o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.
1. Obtenha a política de chaves existente para edição e uso com CloudTrail. Você pode obter a política de chaves executando o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando.
1. Adicione as seções necessárias à política de chaves para que ela CloudTrail possa criptografar e os usuários possam descriptografar seu armazenamento de dados de eventos. Certifique-se de que todos os usuários que acessam o datastore de eventos tenham permissão para descriptografar. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte [Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Anexe o arquivo de política JSON editado à chave executando o AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando.
1. Execute o `update-event-data-store` comando CloudTrail `create-event-data-store` or e adicione o `--kms-key-id` parâmetro. Esse comando habilita a criptografia do datastore de eventos.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
O parâmetro `--kms-key-id` especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes quatro formatos:
+ **Nome do alias**. Exemplo: `alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias**. Exemplo: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Nome de região da Amazon (ARN) da chave**. Exemplo: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID de chave globalmente exclusivo.** Exemplo: `12345678-1234-1234-1234-123456789012`
Esta é uma resposta de exemplo:
```
{
"Name": "my-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"RetentionPeriod": "90",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"TerminationProtectionEnabled": true,
"AdvancedEventSelectors": [{
"Name": "Select all external events",
"FieldSelectors": [{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}]
}]
}
```
A presença do elemento `KmsKeyId` indica que a criptografia para datastores de eventos foi habilitada.
## Desabilitando a criptografia para arquivos de log e arquivos de resumo usando o AWS CLI
Para interromper a criptografia de arquivos de log e arquivos de resumo de uma trilha, execute `update-trail` e passe uma string vazia para o parâmetro `kms-key-id`:
```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```
Esta é uma resposta de exemplo:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
A ausência do valor `KmsKeyId` indica que a criptografia para arquivos de log e arquivos de resumo não está mais habilitada.
**Importante**
Não é possível interromper a criptografia para datastore de eventos.