本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS
描述
AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS运行手册使用您指定的 AWS CloudTrail (CloudTrail) 客户托管密钥加密 AWS Key Management Service (AWS KMS) 跟踪。本运行手册应仅用作基准,以确保您的 CloudTrail跟踪按照建议的最低安全最佳实践进行加密。我们建议使用不同的 KMS 密钥加密多个跟踪。 CloudTrail 摘要文件未加密。如果您之前已将跟踪的EnableLogFileValidation参数设置为,请参阅《AWS CloudTrail 用户指南》中 “CloudTrail 预防性安全最佳实践” 主题的 “使用 AWS KMS 托管密钥的服务器端加密” 部分,了解更多信息。true
文档类型
自动化
所有者
Amazon
平台
Linux,macOS, Windows
参数
-
AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
-
KMSKey我是
类型:字符串
描述:(必需)您要用于加密您在
TrailName参数中指定的跟踪的客户托管密钥的 ARN、密钥 ID 或密钥别名。 -
TrailName
类型:字符串
描述:(必需)要升级加密的跟踪的 ARN 或名称。
所需的 IAM 权限
AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
cloudtrail:GetTrail -
cloudtrail:UpdateTrail
文档步骤
-
aws:executeAwsApi- 对您在TrailName参数中指定的跟踪启用加密。 -
aws:executeAwsApi- 收集KMSKeyId参数中指定的客户托管密钥的 ARN。 -
aws:assertAwsResourceProperty-验证是否已在 CloudTrail 跟踪中启用加密。
