本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的資料保護 AWS X-Ray
<a name="xray-console-encryption"></a>

AWS X-Ray 一律加密追蹤和靜態相關資料。當您需要稽核和停用加密金鑰以符合合規或內部要求時，您可以將 X-Ray 設定為使用 AWS Key Management Service (AWS KMS) 金鑰來加密資料。

X-Ray 提供 AWS 受管金鑰 名為 的 `aws/xray`。當您只想要[稽核 AWS CloudTrail中的金鑰使用情況](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)而不需要管理金鑰本身時，請使用此金鑰。當您需要管理金鑰的存取權或設定金鑰輪換時，您可以[建立客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

當您變更加密設定時，X-Ray 會花費一些時間來產生和傳播資料金鑰。雖然會處理新的金鑰，但 X-Ray 可能會使用新設定和舊設定的組合來加密資料。當您變更加密設定時，並不會重新加密現有資料。

**注意**  
AWS KMS 當 X-Ray 使用 KMS 金鑰來加密或解密追蹤資料時， 會收取費用。  
**預設加密** – 免費。
**AWS 受管金鑰** – 支付金鑰使用費。
**客戶受管金鑰** – 支付金鑰儲存和使用的費用。
如需詳細資訊，請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。

**注意**  
 X-Ray 洞察通知會將事件傳送至 Amazon EventBridge，目前不支援客戶受管金鑰。如需詳細資訊，請參閱 [Amazon EventBridge 中的資料保護](https://docs.aws.amazon.com/eventbridge/latest/userguide/data-protection.html)。

您必須擁有客戶受管金鑰的使用者層級存取權，才能將 X-Ray 設定為使用該金鑰，然後檢視加密的追蹤。如需更多資訊，請參閱[用於加密的使用者許可](security_iam_service-with-iam.md#xray-permissions-encryption)。

------
#### [ CloudWatch console ]

**設定 X-Ray 使用 CloudWatch 主控台使用 KMS 金鑰進行加密**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在左側導覽窗格中選擇**設定**。

1. 在 **X-Ray 追蹤**區段的**加密**下選擇**檢視設定**。

1. 在**加密組態**區段中選擇**編輯**。

1. 選擇**使用 KMS 金鑰**。

1. 從下拉式選單中選擇金鑰：
   + **aws/xray** – 使用 AWS 受管金鑰。
   + *金鑰別名 – *在您的帳戶中使用客戶受管金鑰。
   + **手動輸入金鑰 ARN** – 在不同帳戶中使用客戶受管金鑰。在顯示欄位中，輸入金鑰的完整 Amazon Resource Name (ARN)。

1. 選擇**更新加密**。

------
#### [ X-Ray console ]

**設定 X-Ray 使用 X-Ray 主控台使用 KMS 金鑰進行加密**

1. 開啟 [X-Ray 主控台](https://console.aws.amazon.com/xray/home#)。

1. 選擇 **Encryption (加密)**。

1. 選擇**使用 KMS 金鑰**。

1. 從下拉式選單中選擇金鑰：
   + **aws/xray** – 使用 AWS 受管金鑰。
   + *金鑰別名 – *在您的帳戶中使用客戶受管金鑰。
   + **手動輸入金鑰 ARN** – 在不同帳戶中使用客戶受管金鑰。在顯示欄位中，輸入金鑰的完整 Amazon Resource Name (ARN)。

1. 選擇**套用**。

------

**注意**  
X-Ray 不支援非對稱 KMS 金鑰。

如果 X-Ray 無法存取您的加密金鑰，則會停止儲存資料。如果您的使用者無法存取 KMS 金鑰，或者您停用目前正在使用的金鑰，就可能會發生這種情況。發生這種情況時，X-Ray 會在導覽列中顯示通知。

若要使用 X-Ray API 設定加密設定，請參閱 [使用 AWS X-Ray API 設定取樣、群組和加密設定](xray-api-configuration.md)。