

AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置数据加密设置
<a name="settings-KMS"></a>

您可以选择在 AWS Audit Manager中加密数据的方式。Audit Manager 会自动创建 AWS 托管式密钥 用于安全存储数据的唯一值。默认情况下，您的 Audit Manager 数据使用此 KMS 密钥进行加密。但是，如果您想自定义数据加密设置，则可以指定自己的对称加密客户自主管理型密钥。使用您自己的 KMS 密钥可以提高灵活性，包括提供创建、轮换和禁用密钥的能力。

## 先决条件
<a name="settings-KMS-prerequisites"></a>

如果您提供客户管理的密钥，则该密钥必须与您的评估 AWS 区域 相同，才能成功生成评估报告并导出证据查找器搜索结果。

## 过程
<a name="settings-KMS-procedure"></a>

您可以使用 Audit Manager 控制台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager API 更新您的数据加密设置。

**注意**  
当您更改 Audit Manager 数据加密设置时，这些更改将应用于您创建的任何新评测。这包括您根据新评测创建的任何评测报告和证据查找器导出。  
这些更改不适用于您在更改加密设置之前已创建的评测。除了现有评测报告和 CSV 导出之外，这还包括您根据现有评测创建的新评测报告和 CSV 导出。现有评测 - 及其所有评测报告和 CSV 导出 - 将继续使用旧的 KMS 密钥。如果生成评测报告的 IAM 身份无法使用旧的 KMS 密钥，则在密钥政策级别授予权限。

------
#### [ Audit Manager console ]

**在 Audit Manager 控制台上更新数据加密设置**

1. 在**常规设置**选项卡中，转到**数据加密**部分。

1. 要使用 Audit Manager 提供的默认 KMS 密钥，请清除**自定义加密设置（高级）**复选框。

1. 要使用客户托管密钥，请选中**自定义加密设置（高级）**复选框。然后您可以选择现有 KMS 密钥或创建新密钥。

------
#### [ AWS CLI ]

**要更新您的数据加密设置，请在 AWS CLI**  
运行 [update-settings](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/update-settings.html) 命令并使用 `--kms-key` 参数指定您自己的客户托管密钥。

在以下示例中，{{placeholder text}}用您自己的信息替换。

```
aws auditmanager update-settings --kms-key {{arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab}}
```

------
#### [ Audit Manager API ]

**使用 API 更新数据加密设置**  
调用[UpdateSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html)操作并使用 [kmsKey 参数指定您自己的客户托管密钥](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html#auditmanager-UpdateSettings-request-kmsKey)。

如需了解更多信息，请选择前面的任一链接，在 *Audit Manager API 参考*中阅读更多内容。这包括有关如何使用此操作和特定语言 AWS SDKs中的参数的信息。

------

## 其他资源
<a name="settings-KMS-additional-resources"></a>
+ 有关如何创建密钥的说明，请参阅 *AWS Key Management Service 用户指南*中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
+ 有关如何在密钥策略级别授予权限的说明，请参阅* AWS Key Management Service 开发人员指南*[中的允许其他账户中的用户使用 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。