本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS KMS 金鑰加密 CloudTrail 日誌檔案、摘要檔案和事件資料存放區 (SSE-KMS)
<a name="encrypting-cloudtrail-log-files-with-aws-kms"></a>

根據預設，CloudTrail 交付至儲存貯體的日誌檔案和摘要檔案會使用[伺服器端加密搭配 KMS 金鑰 (SSE-KMS) 進行加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。如果您未啟用 SSE-KMS 加密，您的日誌檔案和摘要檔案會使用 [SSE-S3 加密進行加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

**注意**  
如果您使用現有的 S3 儲存貯體搭配 [S3 儲存貯體金鑰](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)，則必須在金鑰政策中允許 CloudTrail 使用 AWS KMS 動作 `GenerateDataKey`和 的許可`DescribeKey`。如果 `cloudtrail.amazonaws.com` 未授與金鑰政策中的這些許可，則無法建立或更新追蹤。

若要搭配 CloudTrail 使用 SSE-KMS，您可以建立和管理 [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)。您可以將政策連接至 金鑰，以決定哪些使用者可以使用金鑰來加密和解密 CloudTrail 日誌檔案和摘要檔案。解密是透過 S3 無縫進行。當金鑰的授權使用者讀取 CloudTrail 日誌檔案或摘要檔案時，S3 會管理解密，授權使用者能夠以未加密的形式讀取檔案。

這種方法具有下列優勢：
+ 您可以自行建立和管理 KMS 金鑰。
+ 您可以使用單一 KMS 金鑰來加密和解密所有區域中多個帳戶的日誌檔案和摘要檔案。
+ 您可以控制誰可以使用您的金鑰來加密和解密 CloudTrail 日誌檔案和摘要檔案。您可以根據需求將金鑰的許可指派給組織中的使用者。
+ 您可以增強安全性。使用此功能時，若要讀取日誌檔案或摘要檔案，需要下列許可：
  + 使用者必須擁有包含日誌檔案和摘要檔案之儲存貯體的 S3 讀取許可。
  + 使用者還必須套用允許 KMS 金鑰政策解密許可的政策或角色。
+ 由於 S3 會自動解密授權使用 KMS 金鑰之使用者請求的日誌檔案和摘要檔案，因此檔案的 SSE-KMS 加密與讀取 CloudTrail 日誌資料的應用程式回溯相容。

**注意**  
您選擇的 KMS 金鑰必須在與接收日誌檔案和摘要檔案的 Amazon S3 儲存貯體相同的 AWS 區域中建立。例如，如果日誌檔案和摘要檔案將存放在美國東部 （俄亥俄） 區域的儲存貯體中，您必須建立或選擇在該區域中建立的 KMS 金鑰。若要驗證 Amazon S3 儲存貯體的區域，請在 Amazon S3 主控台中檢查其屬性。

根據預設，CloudTrail 會加密事件資料存放區。建立或更新事件資料存放區時，您可以選擇使用自己的 KMS 金鑰進行加密。

## 啟用日誌檔案加密
<a name="encrypting-cloudtrail-log-files-with-aws-kms-enabling"></a>

**注意**  
如果您在 CloudTrail 主控台中建立 KMS 金鑰，CloudTrail 會為您新增必要的 KMS 金鑰政策區段。如果您在 IAM 主控台或 中建立金鑰， AWS CLI 而且需要手動新增必要的政策區段，請遵循這些程序。

若要啟用 CloudTrail 日誌檔案的 SSE-KMS 加密，請執行下列高階步驟：

1. 建立 KMS 金鑰。
   + 如需有關使用 建立 KMS 金鑰的資訊 AWS 管理主控台，請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
   + 如需使用 建立 KMS 金鑰的資訊 AWS CLI，請參閱 [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)。
**注意**  
您選擇的 KMS 金鑰必須與接收日誌檔案和摘要檔案的 S3 儲存貯體位於相同的區域。若要驗證 S3 儲存貯體的區域，請在 S3 主控台中檢查儲存貯體的屬性。

1. 將政策區段新增至金鑰，讓 CloudTrail 加密和使用者解密日誌檔案和摘要檔案。
   + 如需政策中所含項目的資訊，請參閱「[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)」。
**警告**  
請務必針對需要讀取日誌檔案或摘要檔案的所有使用者，在政策中包含解密許可。如果您在將金鑰新增至線索組態之前未先執行此步驟，則沒有解密許可的使用者就無法讀取加密檔案；除非您授與他們那些許可。
   + 如需使用 IAM 主控台編輯政策的資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[編輯金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing)。
   + 如需有關使用 將政策連接至 KMS 金鑰的資訊 AWS CLI，請參閱 [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)。

1. 更新您的線索或事件資料存放區，以使用您為 CloudTrail 修改的政策的 KMS 金鑰。
   + 若要使用 CloudTrail 主控台更新追蹤或事件資料存放區，請參閱 [更新資源以搭配 主控台使用您的 KMS 金鑰](create-kms-key-policy-for-cloudtrail-update-trail.md)。
   + 若要使用 更新線索或事件資料存放區 AWS CLI，請參閱 [使用 啟用和停用 CloudTrail 日誌檔案、摘要檔案和事件資料存放區的加密 AWS CLI](cloudtrail-log-file-encryption-cli.md)。

CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

下節說明您 KMS 金鑰政策與 CloudTrail 搭配使用所需的政策區段。