Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsselung von CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeichern mit AWS KMS Schlüsseln (SSE-KMS)
Standardmäßig werden die von Ihrem Bucket übermittelten Protokoll- und Digest-Dateien mithilfe einer [serverseitigen Verschlüsselung mit einem KMS-Schlüssel (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)) verschlüsselt. CloudTrail [Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren, werden Ihre Protokolldateien und Digest-Dateien mit der SSE-S3-Verschlüsselung verschlüsselt.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)
**Anmerkung**
Wenn Sie einen vorhandenen S3-Bucket mit einem S3-Bucket-Schlüssel verwenden, CloudTrail müssen Sie in der [Schlüsselrichtlinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) über die entsprechende Berechtigung verfügen, um die Aktionen und verwenden zu können. AWS KMS `GenerateDataKey` `DescribeKey` Wenn `cloudtrail.amazonaws.com` diese Berechtigungen in der Schlüsselrichtlinie nicht gewährt werden, können Sie keinen Trail erstellen oder aktualisieren.
Um SSE-KMS mit zu verwenden CloudTrail, erstellen und verwalten Sie eine. [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) Sie fügen dem Schlüssel eine Richtlinie hinzu, die festlegt, welche Benutzer den Schlüssel zum Verschlüsseln und Entschlüsseln von CloudTrail Protokolldateien und Digest-Dateien verwenden können. Die Entschlüsselung erfolgt nahtlos über S3. Wenn autorisierte Benutzer des Schlüssels CloudTrail Protokolldateien oder Digest-Dateien lesen, verwaltet S3 die Entschlüsselung, und die autorisierten Benutzer können die Dateien in unverschlüsselter Form lesen.
Dieser Ansatz bietet folgende Vorteile:
+ Sie können den KMS-Schlüssel selbst erstellen und verwalten.
+ Sie können einen einzigen KMS-Schlüssel verwenden, um Protokolldateien und Digest-Dateien für mehrere Konten in allen Regionen zu verschlüsseln und zu entschlüsseln.
+ Sie haben die Kontrolle darüber, wer Ihren Schlüssel zum Verschlüsseln und Entschlüsseln von CloudTrail Protokolldateien und Digest-Dateien verwenden kann. Sie können den Benutzern in Ihrer Organisation Berechtigungen für den Schlüssel entsprechend Ihren Anforderungen zuweisen.
+ Sie profitieren von verbesserter Sicherheit. Für diese Funktion sind zum Lesen von Protokoll- oder Digest-Dateien die folgenden Berechtigungen erforderlich:
+ Ein Benutzer muss über S3-Leseberechtigungen für den Bucket verfügen, der die Logdateien und Digest-Dateien enthält.
+ Ein Benutzer muss zudem über eine Richtlinie oder Rolle verfügen, die das Entschlüsseln von Berechtigungen mit der KMS-Schlüssel-Richtlinie erlaubt.
+ Da S3 die Protokolldateien und Digest-Dateien für Anfragen von Benutzern, die zur Verwendung des KMS-Schlüssels autorisiert sind, automatisch entschlüsselt, ist die SSE-KMS-Verschlüsselung für die Dateien abwärtskompatibel mit Anwendungen, die Protokolldaten lesen. CloudTrail
**Anmerkung**
Der von Ihnen gewählte KMS-Schlüssel muss in derselben AWS Region erstellt werden wie der Amazon S3 S3-Bucket, der Ihre Protokoll- und Digest-Dateien empfängt. Wenn die Protokolldateien und Digest-Dateien beispielsweise in einem Bucket in der Region USA Ost (Ohio) gespeichert werden, müssen Sie einen KMS-Schlüssel erstellen oder auswählen, der in dieser Region erstellt wurde. Zum Überprüfen der Region für einen Amazon-S3-Bucket sehen Sie sich die entsprechenden Eigenschaften in der Amazon-S3-Konsole an.
Standardmäßig werden Ereignisdatenspeicher von CloudTrail verschlüsselt. Sie haben die Möglichkeit, Ihren eigenen KMS-Schlüssel für die Verschlüsselung zu verwenden, wenn Sie einen Ereignisdatenspeicher erstellen oder aktualisieren.
## Aktivieren der Verschlüsselung von Protokolldateien
**Anmerkung**
Wenn Sie in der CloudTrail Konsole einen KMS-Schlüssel erstellen, werden die erforderlichen Abschnitte mit den KMS-Schlüsselrichtlinien für Sie CloudTrail hinzugefügt. Gehen Sie wie folgt vor, wenn Sie einen Schlüssel in der IAM-Konsole erstellt haben oder AWS CLI die erforderlichen Richtlinienabschnitte manuell hinzufügen müssen.
Führen Sie die folgenden allgemeinen Schritte aus, um die SSE-KMS-Verschlüsselung für CloudTrail Protokolldateien zu aktivieren:
1. Erstellen eines KMS-Schlüssels.
+ Informationen zum Erstellen eines KMS-Schlüssels mit dem AWS-Managementkonsole finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer* Guide.
+ Informationen zum Erstellen eines KMS-Schlüssels mit dem finden Sie AWS CLI unter [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
**Anmerkung**
Der von Ihnen gewählte KMS-Schlüssel muss sich in derselben Region befinden wie der S3-Bucket, der Ihre Protokoll- und Digest-Dateien empfängt. Zum Überprüfen der Region für einen S3-Bucket sehen Sie sich die Eigenschaften des Buckets in der S3-Konsole an.
1. Fügen Sie dem Schlüssel Richtlinienabschnitte hinzu, die das Verschlüsseln und das Entschlüsseln von Protokolldateien und Digest-Dateien durch Benutzer ermöglichen CloudTrail .
+ Weitere Informationen zu den erforderlichen Inhalten der Richtlinie finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
**Warnung**
Stellen Sie sicher, dass die Richtlinie Entschlüsselungsberechtigungen für alle Benutzer enthält, die Protokolldateien oder Digest-Dateien lesen müssen. Wenn Sie diesen Schritt nicht ausführen, bevor Sie den Schlüssel der Trail-Konfiguration hinzufügen, können Benutzer ohne Berechtigungen zum Entschlüsseln keine verschlüsselten Dateien lesen, bis Sie ihnen diese Berechtigungen erteilen.
+ Weitere Informationen zum Bearbeiten einer Richtlinie mit der IAM-Konsole finden Sie unter [Bearbeiten einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) im *AWS Key Management Service -Entwicklerhandbuch*.
+ Informationen zum Anhängen einer Richtlinie an einen KMS-Schlüssel mit dem AWS CLI finden Sie unter. [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Aktualisieren Sie Ihren Trail- oder Event-Datenspeicher, sodass er den KMS-Schlüssel verwendet, dessen Richtlinie Sie geändert haben. CloudTrail
+ Informationen zum Aktualisieren eines Trail- oder Ereignisdatenspeichers mithilfe der CloudTrail Konsole finden Sie unter[Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](create-kms-key-policy-for-cloudtrail-update-trail.md).
+ Informationen zum Aktualisieren eines Trail- oder Ereignisdatenspeichers mithilfe der AWS CLI finden Sie unter[Aktivieren und Deaktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mit dem AWS CLI](cloudtrail-log-file-encryption-cli.md).
CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Im nächsten Abschnitt werden die Richtlinienabschnitte beschrieben, die für die Verwendung mit CloudTrail Ihrer KMS-Schlüsselrichtlinie erforderlich sind.
# Erteilen der Berechtigung zum Erstellen eines KMS-Schlüssels
Mit der [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)Richtlinie können Sie Benutzern die Erlaubnis erteilen, AWS KMS key einen zu erstellen.
**Erteilt die Berechtigung zum Erstellen eines KMS-Schlüssels**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie die Gruppen oder den Benutzer aus, der/dem Sie eine Berechtigung zuweisen möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen **Sie in der Liste Berechtigungen hinzufügen** die Option **Richtlinien anhängen** aus.
1. Suchen Sie nach der Richtlinie **AWSKeyManagementServicePowerUser**, wählen Sie sie aus und wählen Sie dann **Richtlinien anhängen** aus.
Der Benutzer verfügt jetzt über die Berechtigung zum Erstellen eines KMS-Schlüssel. Weitere Informationen zum Erstellen von Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
# Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail
Sie können eine AWS KMS key auf drei Arten erstellen:
+ Die CloudTrail Konsole
+ Die AWS Management-Konsole
+ Die AWS CLI
**Anmerkung**
Wenn Sie in der CloudTrail Konsole einen KMS-Schlüssel erstellen, CloudTrail fügt er die erforderliche KMS-Schlüsselrichtlinie für Sie hinzu. Sie müssen die Richtlinienanweisungen nicht manuell hinzufügen. Siehe [In CloudTrail der Konsole erstellte Standard-KMS-Schlüsselrichtlinie](default-kms-key-policy.md).
Wenn Sie im AWS-Managementkonsole oder im einen KMS-Schlüssel erstellen AWS CLI, müssen Sie dem Schlüssel Richtlinienabschnitte hinzufügen, damit Sie ihn mit verwenden können CloudTrail. Die Richtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokolldateien, Digest-Dateien und Ereignisdatenspeicher ermöglichen und es den von Ihnen angegebenen Benutzern ermöglichen, Protokolldateien und Digest-Dateien in unverschlüsselter Form zu lesen. CloudTrail
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Informationen zum Erstellen eines KMS-Schlüssels mit dem finden Sie unter create-key. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)
+ Informationen zum Bearbeiten einer KMS-Schlüsselrichtlinie für CloudTrail finden Sie unter [Bearbeiten einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) im *AWS Key Management Service Entwicklerhandbuch*.
+ Technische Informationen zur CloudTrail Verwendung finden Sie AWS KMS unter[Wie AWS CloudTrail verwendet AWS KMS](how-kms-works-with-cloudtrail.md).
**Topics**
+ [
## Erforderliche Abschnitte mit den wichtigsten KMS-Richtlinien für die Verwendung mit CloudTrail
](#create-kms-key-policy-for-cloudtrail-policy-sections)
+ [
## Erteilung von Verschlüsselungsberechtigungen für Trails
](#create-kms-key-policy-for-cloudtrail-encrypt)
+ [
## Erteilen von Verschlüsselungsberechtigungen für Ereignisdatenspeicher
](#create-kms-key-policy-for-cloudtrail-encrypt-eds)
+ [
## Erteilen von Entschlüsselungsberechtigungen für Pfade
](#create-kms-key-policy-for-cloudtrail-decrypt)
+ [
## Erteilen von Entschlüsselungsberechtigungen für Ereignisdatenspeicher
](#create-kms-key-policy-for-cloudtrail-decrypt-eds)
+ [
## Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln
](#create-kms-key-policy-for-cloudtrail-describe)
+ [
# In CloudTrail der Konsole erstellte Standard-KMS-Schlüsselrichtlinie
](default-kms-key-policy.md)
## Erforderliche Abschnitte mit den wichtigsten KMS-Richtlinien für die Verwendung mit CloudTrail
Wenn Sie einen KMS-Schlüssel mit der AWS Managementkonsole oder dem erstellt haben AWS CLI, müssen Sie Ihrer KMS-Schlüsselrichtlinie mindestens die folgenden Anweisungen hinzufügen, damit er funktioniert CloudTrail.
**Topics**
+ [
### Für Trails erforderliche Elemente der KMS-Schlüsselrichtlinie
](#required-kms-key-policy-trails)
+ [
### Für Ereignisdatenspeicher erforderliche Elemente der KMS-Schlüsselrichtlinie
](#required-kms-key-policy-eventdatastores)
### Für Trails erforderliche Elemente der KMS-Schlüsselrichtlinie
1. Erteilen Sie Berechtigungen zum Verschlüsseln von CloudTrail Protokoll- und Digest-Dateien. Weitere Informationen finden Sie unter [Erteilung von Verschlüsselungsberechtigungen für Trails](#create-kms-key-policy-for-cloudtrail-encrypt).
1. Erteilen Sie Berechtigungen zum Entschlüsseln von CloudTrail Protokoll- und Digest-Dateien. Weitere Informationen finden Sie unter [Erteilen von Entschlüsselungsberechtigungen für Pfade](#create-kms-key-policy-for-cloudtrail-decrypt). Wenn Sie einen vorhandenen S3-Bucket mit einem [S3-Bucket-Schlüssel](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) verwenden, sind `kms:Decrypt`-Berechtigungen erforderlich, um einen Trail mit aktivierter SSE-KMS-Verschlüsselung zu erstellen oder zu aktualisieren.
1. Aktivieren Sie CloudTrail diese Option, um KMS-Schlüsseleigenschaften zu beschreiben. Weitere Informationen finden Sie unter [Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln](#create-kms-key-policy-for-cloudtrail-describe).
Als bewährte Sicherheitsmethode gilt es, der KMS-Schlüsselrichtlinie einen `aws:SourceArn`-Bedingungsschlüssel hinzuzufügen. Mit dem globalen IAM-Bedingungsschlüssel wird `aws:SourceArn` sichergestellt, dass der KMS-Schlüssel nur für einen oder mehrere bestimmte Pfade CloudTrail verwendet wird. Der Wert von `aws:SourceArn` ist immer der Trail-ARN (oder das Trail-Array ARNs), der den KMS-Schlüssel verwendet. Denken Sie daran, den `aws:SourceArn`-Bedingungsschlüssel KMS-Schlüsselrichtlinien für bestehende Trails hinzuzufügen.
Der `aws:SourceAccount`-Bedingungsschlüssel wird ebenfalls unterstützt, aber nicht empfohlen. Der Wert von `aws:SourceAccount` ist die Konto-ID des Trail-Besitzers oder die Verwaltungskonto-ID für Organisations-Trails.
**Wichtig**
Ändern Sie beim Hinzufügen der neuen Abschnitte zur KMS-Schlüsselrichtlinie keinen der vorhandenen Abschnitte.
Wenn die Verschlüsselung auf einem Trail aktiviert und der KMS-Schlüssel deaktiviert ist oder die KMS-Schlüsselrichtlinie nicht richtig konfiguriert ist CloudTrail, CloudTrail können keine Protokolle übermittelt werden.
### Für Ereignisdatenspeicher erforderliche Elemente der KMS-Schlüsselrichtlinie
1. Erteilen Sie Berechtigungen zum Verschlüsseln eines CloudTrail Lake-Ereignisdatenspeichers. Weitere Informationen finden Sie unter [Erteilen von Verschlüsselungsberechtigungen für Ereignisdatenspeicher](#create-kms-key-policy-for-cloudtrail-encrypt-eds).
1. Erteilen Sie Berechtigungen zum Entschlüsseln eines CloudTrail Lake-Ereignisdatenspeichers. Weitere Informationen finden Sie unter [Erteilen von Entschlüsselungsberechtigungen für Ereignisdatenspeicher](#create-kms-key-policy-for-cloudtrail-decrypt-eds).
Wenn Sie einen Ereignisdatenspeicher erstellen und ihn mit einem KMS-Schlüssel verschlüsseln oder Abfragen in einem Ereignisdatenspeicher ausführen, den Sie mit einem KMS-Schlüssel verschlüsseln, benötigen Sie Schreibzugriff auf den KMS-Schlüssel. Die KMS-Schlüsselrichtlinie muss Zugriff auf den Ereignisdatenspeicher haben CloudTrail, und der KMS-Schlüssel sollte von Benutzern verwaltet werden können, die Operationen (z. B. Abfragen) im Ereignisdatenspeicher ausführen.
1. Aktivieren Sie CloudTrail diese Option, um KMS-Schlüsseleigenschaften zu beschreiben. Weitere Informationen finden Sie unter [Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln](#create-kms-key-policy-for-cloudtrail-describe).
Die Bedingungsschlüssel `aws:SourceArn` und `aws:SourceAccount` werden in KMS-Schlüsselrichtlinien für Ereignisdatenspeicher nicht unterstützt.
**Wichtig**
Ändern Sie beim Hinzufügen der neuen Abschnitte zur KMS-Schlüsselrichtlinie keinen der vorhandenen Abschnitte.
Wenn die Verschlüsselung in einem Ereignisdatenspeicher aktiviert ist und der KMS-Schlüssel deaktiviert oder gelöscht ist oder die KMS-Schlüsselrichtlinie nicht richtig konfiguriert ist CloudTrail, CloudTrail können keine Ereignisse an Ihren Ereignisdatenspeicher übermittelt werden.
## Erteilung von Verschlüsselungsberechtigungen für Trails
**Example CloudTrail Erlaubt die Verschlüsselung von Logdateien und Digest-Dateien für bestimmte Konten**
CloudTrail benötigt die ausdrückliche Genehmigung, den KMS-Schlüssel zum Verschlüsseln von Protokoll- und Digest-Dateien für bestimmte Konten zu verwenden. Um ein Konto anzugeben, fügen Sie Ihrer KMS-Schlüsselrichtlinie die folgende erforderliche Anweisung hinzu und ersetzen Sie*account-id*,*region*, durch die entsprechenden Werte für Ihre Konfiguration. *trailName* Sie können dem `EncryptionContext` Abschnitt ein zusätzliches Konto IDs hinzufügen, damit diese Konten Ihren KMS-Schlüssel CloudTrail zum Verschlüsseln von Protokoll- und Digest-Dateien verwenden können.
Fügen Sie der KMS-Schlüsselrichtlinie für einen Trail als bewährte Sicherheitsmethode den Bedingungsschlüssel `aws:SourceArn` hinzu. Der globale IAM-Bedingungsschlüssel `aws:SourceArn` trägt dazu bei, dass der KMS-Schlüssel nur für einen oder mehrere bestimmte Pfade CloudTrail verwendet wird.
```
{
"Sid": "AllowCloudTrailEncryptLogs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
}
}
}
```
**Example**
Das folgende Beispiel für eine Richtlinienanweisung veranschaulicht, wie ein anderes Konto Ihren KMS-Schlüssel verwenden kann, um CloudTrail Protokolldateien und Digest-Dateien zu verschlüsseln.
**Szenario**
+ Ihr KMS-Schlüssel befindet sich im Konto *111111111111*.
+ Sowohl Sie als auch Ihr Konto verschlüsseln *222222222222* die Protokolle.
In der Richtlinie fügen Sie ein oder mehrere Konten hinzu, die mit Ihrem Schlüssel verschlüsseln. CloudTrail **EncryptionContext** Dies beschränkt die CloudTrail Verwendung Ihres Schlüssels zum Verschlüsseln von Protokoll- und Digest-Dateien nur für die von Ihnen angegebenen Konten. Wenn Sie dem Stammkonto die *222222222222* Berechtigung zum Verschlüsseln von Protokoll- und Digest-Dateien erteilen, delegiert es die Erlaubnis an den Kontoadministrator, die erforderlichen Berechtigungen für andere Benutzer in diesem Konto zu verschlüsseln. Dies geschieht, indem der Kontoadministrator die diesen IAM-Benutzern zugeordneten Richtlinien ändert.
Als bewährte Sicherheitsmethode gilt es, der KMS-Schlüsselrichtlinie einen `aws:SourceArn`-Bedingungsschlüssel hinzuzufügen. Mit dem globalen IAM-Bedingungsschlüssel wird `aws:SourceArn` sichergestellt, dass der KMS-Schlüssel nur für die angegebenen Pfade CloudTrail verwendet wird. Diese Bedingung wird in KMS-Schlüsselrichtlinien für Ereignisdatenspeicher nicht unterstützt.
KMS-Schlüsselrichtlinie:
```
{
"Sid": "EnableCloudTrailEncryptPermissions",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": [
"arn:aws:cloudtrail:*:111111111111:trail/*",
"arn:aws:cloudtrail:*:222222222222:trail/*"
]
},
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Weitere Informationen zum Bearbeiten einer KMS-Schlüsselrichtlinie zur Verwendung mit CloudTrail finden Sie unter [Bearbeiten einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) im AWS Key Management Service Entwicklerhandbuch.
## Erteilen von Verschlüsselungsberechtigungen für Ereignisdatenspeicher
Eine Richtlinie für einen KMS-Schlüssel, der zum Verschlüsseln eines CloudTrail Lake-Ereignisdatenspeichers verwendet wird, kann die Bedingungsschlüssel `aws:SourceArn` oder nicht verwenden. `aws:SourceAccount` Im Folgenden finden Sie ein Beispiel für eine KMS-Schlüsselrichtlinie für einen Ereignisdatenspeicher.
```
{
"Sid": "AllowCloudTrailEncryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
## Erteilen von Entschlüsselungsberechtigungen für Pfade
Bevor Sie Ihren KMS-Schlüssel zu Ihrer CloudTrail Konfiguration hinzufügen, ist es wichtig, allen Benutzern, die diese benötigen, Entschlüsselungsberechtigungen zu erteilen. Benutzer, die zwar über Verschlüsselungs-, aber nicht über Entschlüsselungsberechtigungen verfügen, können verschlüsselte Protokolle nicht lesen. Wenn Sie einen vorhandenen S3-Bucket mit einem [S3-Bucket-Schlüssel](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) verwenden, sind `kms:Decrypt`-Berechtigungen erforderlich, um einen Trail mit aktivierter SSE-KMS-Verschlüsselung zu erstellen oder zu aktualisieren.
**Aktivieren Sie die Berechtigungen zum Entschlüsseln von CloudTrail Protokollen**
Benutzern des Schlüssels müssen explizite Berechtigungen für das Lesen der Protokolldateien gewährt werden, die CloudTrail verschlüsselt hat. Damit Benutzer verschlüsselte Protokolle lesen können, fügen Sie der KMS-Schlüsselrichtlinie die folgenden erforderlichen Anweisungen hinzu und fügen Sie dazu dem Abschnitt `Principal` für jeden Prinzipal, der zur Entschlüsselung mithilfe Ihres KMS-Schlüssel berechtigt sein soll, eine Zeile hinzu.
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die erforderlich ist, damit der CloudTrail Dienstprinzipal Trailprotokolle entschlüsseln kann.
```
{
"Sid": "AllowCloudTrailDecryptTrail",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
### Zulassen, dass Benutzer in Ihrem Konto Trail-Protokolle mit Ihrem KMS-Schlüssel entschlüsseln
**Beispiel**
Diese Richtlinienanweisung zeigt, wie Sie es einem Benutzer oder einer Rolle in Ihrem Konto ermöglichen, Ihren Schlüssel zu verwenden, um verschlüsselte Protokolle im S3-Bucket Ihres Kontos zu lesen.
**Example Szenario**
+ Ihr KMS-Schlüssel, der S3-Bucket und der IAM-Benutzer Bob befinden sich im Konto `111111111111`.
+ Sie erteilen dem IAM-Benutzer Bob die Erlaubnis, CloudTrail Logs im S3-Bucket zu entschlüsseln.
In der Schlüsselrichtlinie aktivieren Sie die Berechtigungen zur CloudTrail Protokollentschlüsselung für den IAM-Benutzer Bob.
KMS-Schlüsselrichtlinie:
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/Bob"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**Topics**
### Zulassen, dass Benutzer in anderen Konten Trail-Protokolle mit Ihrem KMS-Schlüssel entschlüsseln
Sie können Benutzern mit anderen Konten erlauben, Ihren KMS-Schlüssel zum Entschlüsseln von Trail-Logs zu verwenden. Die erforderlichen Änderungen an der Schlüsselrichtlinie sind abhängig davon, ob der S3-Bucket sich in Ihrem Konto oder in einem anderen Konto befindet.
#### Zulassen der Entschlüsselung von Protokollen für Benutzer eines Buckets in einem anderen Konto
**Beispiel**
Diese Richtlinienanweisung zeigt, wie Sie einem IAM-Benutzer oder einer IAM-Rolle in einem anderen Konto ermöglichen, Ihren Schlüssel zu verwenden, um verschlüsselte Protokolle aus einem S3-Bucket in dem anderen Konto zu lesen.
**Szenario**
+ Ihr KMS-Schlüssel befindet sich im Konto `111111111111`.
+ Der IAM-Benutzer Alice und der S3-Bucket befinden sich im Konto `222222222222`.
In diesem Fall erteilen Sie die CloudTrail Erlaubnis, Protokolle unter dem Konto zu entschlüsseln`222222222222`, und Sie erteilen Alice in der IAM-Benutzerrichtlinie die Erlaubnis, Ihren Schlüssel zu verwenden`KeyA`, der sich im Konto befindet. `111111111111`
KMS-Schlüsselrichtlinie:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:root"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:111111111111:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Anweisung in der IAM-Benutzerrichtlinie von Alice:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111111111111:key/KeyA"
}
]
}
```
------
#### Zulassen, dass Benutzer in einem anderen Konto Trail-Protokolle aus Ihrem Bucket entschlüsseln
**Example**
Diese Richtlinie zeigt, wie ein anderes Konto Ihren Schlüssel verwenden kann, um verschlüsselte Protokolle aus Ihrem S3-Bucket zu lesen.
**Example Szenario**
+ Ihr KMS-Schlüssel und S3-Bucket befinden sich in Konto `111111111111`.
+ Der Benutzer, der Protokolle aus Ihrem Bucket liest, befindet sich in Konto `222222222222`.
Um dieses Szenario zu aktivieren, aktivieren Sie die Entschlüsselungsberechtigungen für die IAM-Rolle **CloudTrailReadRole**in Ihrem Konto und geben dann dem anderen Konto die Erlaubnis, diese Rolle anzunehmen.
KMS-Schlüsselrichtlinie:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:role/CloudTrailReadRole"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**CloudTrailReadRole**Grundsatzerklärung zur Vertrauensstelle:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CloudTrail access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::222222222222:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Informationen zum Bearbeiten einer KMS-Schlüsselrichtlinie zur Verwendung mit CloudTrail finden Sie unter [Bearbeiten einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) im *AWS Key Management Service Entwicklerhandbuch*.
## Erteilen von Entschlüsselungsberechtigungen für Ereignisdatenspeicher
Eine Entschlüsselungsrichtlinie für einen KMS-Schlüssel, der mit einem CloudTrail Lake-Ereignisdatenspeicher verwendet wird, ähnelt der folgenden. Der als Werte für ARNs angegebene Benutzer oder die Rolle `Principal` benötigt Entschlüsselungsberechtigungen, um Ereignisdatenspeicher zu erstellen oder zu aktualisieren, Abfragen auszuführen oder Abfrageergebnisse abzurufen.
```
{
"Sid": "EnableUserKeyPermissionsEds"
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die erforderlich ist, damit der CloudTrail Dienstprinzipal einen Ereignisdatenspeicher entschlüsseln kann.
```
{
"Sid": "AllowCloudTrailDecryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
## Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln
CloudTrail erfordert die Fähigkeit, die Eigenschaften des KMS-Schlüssels zu beschreiben. Um diese Funktion zu aktivieren, fügen Sie der KMS-Schlüssel-Richtlinie die folgende erforderliche Anweisung hinzu. Diese Anweisung gewährt CloudTrail keine Berechtigungen, die über die anderen von Ihnen angegebenen Berechtigungen hinausgehen.
Als bewährte Sicherheitsmethode gilt es, der KMS-Schlüsselrichtlinie einen `aws:SourceArn`-Bedingungsschlüssel hinzuzufügen. Mit dem globalen IAM-Bedingungsschlüssel wird `aws:SourceArn` sichergestellt, dass der KMS-Schlüssel nur für einen oder mehrere bestimmte Pfade CloudTrail verwendet wird.
```
{
"Sid": "AllowCloudTrailAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Weitere Informationen zum Bearbeiten von KMS-Schlüsselrichtlinien finden Sie unter [Bearbeiten einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) im *AWS Key Management Service -Entwicklerhandbuch*.
# In CloudTrail der Konsole erstellte Standard-KMS-Schlüsselrichtlinie
Wenn Sie eine AWS KMS key in der CloudTrail Konsole erstellen, werden die folgenden Richtlinien automatisch für Sie erstellt. Die Richtlinie gewährt die folgenden Berechtigungen:
+ Erlaubt AWS-Konto (Root-) Berechtigungen für den KMS-Schlüssel.
+ Ermöglicht CloudTrail die Verschlüsselung von Protokoll- und Digest-Dateien unter dem KMS-Schlüssel und die Beschreibung des KMS-Schlüssels.
+ Ermöglicht allen Benutzern in den angegebenen Konten, Protokolldateien und Digest-Dateien zu entschlüsseln.
+ Ermöglicht allen Benutzern in dem angegebenen Konto das Erstellen eines KMS-Alias für den KMS-Schlüssel.
+ Aktiviert die kontoübergreifende Protokollentschlüsselung für die Konto-ID des Kontos, das den Trail erstellt hat.
**Topics**
+ [
## Standardmäßige KMS-Schlüsselrichtlinie für Trails
](#default-kms-key-policy-trail)
+ [
## Standardmäßige KMS-Schlüsselrichtlinie für CloudTrail Lake-Ereignisdatenspeicher
](#default-kms-key-policy-eds)
## Standardmäßige KMS-Schlüsselrichtlinie für Trails
Im Folgenden finden Sie die Standardrichtlinie, die für eine erstellt wurde AWS KMS key , die Sie mit einem Trail verwenden.
**Anmerkung**
Die Richtlinie enthält eine Erklärung, die es kontenübergreifenden Konten ermöglicht, Protokolldateien und Digest-Dateien mit dem KMS-Schlüssel zu entschlüsseln.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:root",
"arn:aws:iam::111111111111:user/username"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
}
]
}
```
------
## Standardmäßige KMS-Schlüsselrichtlinie für CloudTrail Lake-Ereignisdatenspeicher
Im Folgenden finden Sie die Standardrichtlinie, die für eine erstellt wurde AWS KMS key , die Sie mit einem Ereignisdatenspeicher in CloudTrail Lake verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111:assumed-role/example-role-name"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------
# Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole
Aktualisieren Sie auf der CloudTrail Konsole einen Trail- oder Ereignisdatenspeicher, sodass er einen KMS-Schlüssel verwendet. Beachten Sie, dass die Verwendung Ihres eigenen KMS-Schlüssels AWS KMS Kosten für die Verschlüsselung und Entschlüsselung verursacht. Weitere Informationen finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/).
**Topics**
+ [
## Aktualisieren eines Trails zur Verwendung eines KMS-Schlüssels
](#kms-key-policy-update-trail)
+ [
## Aktualisieren eines Ereignisdatenspeichers zur Verwendung eines KMS-Schlüssels
](#kms-key-policy-update-eds)
## Aktualisieren eines Trails zur Verwendung eines KMS-Schlüssels
Führen Sie die folgenden Schritte in der Konsole aus AWS KMS key , um einen Trail zu aktualisieren, sodass er den Pfad verwendet CloudTrail, für den Sie ihn geändert haben. CloudTrail
**Anmerkung**
Wenn Sie einen vorhandenen S3-Bucket mit einem [S3-Bucket-Schlüssel](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) verwenden, CloudTrail müssen Sie in der Schlüsselrichtlinie über die entsprechende Berechtigung verfügen, um die AWS KMS Aktionen `GenerateDataKey` und verwenden zu können`DescribeKey`. Wenn `cloudtrail.amazonaws.com` diese Berechtigungen in der Schlüsselrichtlinie nicht gewährt werden, können Sie keinen Trail erstellen oder aktualisieren.
Informationen zum Aktualisieren eines Trails mithilfe von finden Sie unter[Aktivieren und Deaktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mit dem AWS CLI](cloudtrail-log-file-encryption-cli.md). AWS CLI
**So aktualisieren Sie einen Trail zur Verwendung des KMS-Schlüssel**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie **Trails** und anschließend einen Trail-Namen.
1. Wählen Sie unter **Allgemeine Details** **Bearbeiten** aus.
1. Wählen Sie für die **SSE-KMS-Verschlüsselung für Protokolldateien** die **Option Aktiviert** aus, wenn Sie Ihre Protokolldateien und Digest-Dateien mit der SSE-KMS-Verschlüsselung anstelle der SSE-S3-Verschlüsselung verschlüsseln möchten. Der Standard ist **aktiviert**. Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren, werden Ihre Protokolldateien und Digest-Dateien mit der SSE-S3-Verschlüsselung verschlüsselt. Weitere Informationen zur SSE-KMS-Verschlüsselung finden Sie unter Verwenden der serverseitigen Verschlüsselung [mit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (SSE-KMS). AWS Key Management Service Weitere Informationen zur SSE-S3-Verschlüsselung finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
Wählen Sie **Vorhanden**, um Ihren Trail mit Ihrem AWS KMS key zu aktualisieren. Wählen Sie einen KMS-Schlüssel aus, der sich in derselben Region befindet wie der S3-Bucket, der Ihre Protokolldateien empfängt. Zum Überprüfen der Region für einen S3-Bucket sehen Sie sich die entsprechenden Eigenschaften in der S3-Konsole an.
**Anmerkung**
Sie können auch den ARN eines Schlüssels von einem anderen Konto eingeben. Weitere Informationen finden Sie unter [Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](#create-kms-key-policy-for-cloudtrail-update-trail). Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokoll- und Digest-Dateien ermöglichen und es den von Ihnen angegebenen Benutzern ermöglichen, Protokolldateien oder Digest-Dateien in unverschlüsselter Form zu lesen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
Geben Sie im Feld **AWS KMS Alias** den Alias, für den Sie die Richtlinie zur Verwendung mit geändert haben CloudTrail, im Format an. `alias/` *MyAliasName* Weitere Informationen finden Sie unter [Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](#create-kms-key-policy-for-cloudtrail-update-trail).
Sie können den Aliasnamen, ARN oder die global eindeutige Schlüssel-ID angeben. Wenn der KMS-Schlüssel zu einem anderen Konto gehört, stellen Sie sicher, dass die Schlüsselrichtlinie über entsprechende Berechtigungen verfügt, damit Sie sie verwenden können. Der Wert kann in einem der folgenden Formate angegeben sein:
+ **Aliasname**: `alias/MyAliasName`
+ **Alias-ARN**: `arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **Schlüssel-ARN**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **Global eindeutige Schlüssel-ID**: `12345678-1234-1234-1234-123456789012`
1. Wählen Sie **Trail aktualisieren** aus.
**Anmerkung**
Wenn der KMS-Schlüssel, den Sie ausgewählt haben, deaktiviert ist oder gelöscht werden soll, können Sie den Trail mit diesem KMS-Schlüssel nicht speichern. Sie können den KMS-Schlüssel aktivieren oder einen anderen auswählen. Weitere Informationen finden Sie unter [Schlüsselzustand: Auswirkung auf Ihren KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) im *AWS Key Management Service -Entwicklerhandbuch*.
## Aktualisieren eines Ereignisdatenspeichers zur Verwendung eines KMS-Schlüssels
Um einen Ereignisdatenspeicher so zu aktualisieren, AWS KMS key dass er den, für den Sie geändert haben CloudTrail, verwendet, führen Sie die folgenden Schritte in der CloudTrail Konsole aus.
Informationen zum Aktualisieren eines Ereignisdatenspeichers mithilfe von finden Sie unter[Aktualisieren Sie einen Ereignisdatenspeicher mit dem AWS CLI](lake-cli-update-eds.md). AWS CLI
**Wichtig**
Durch das Deaktivieren oder Löschen des KMS-Schlüssels oder das Entfernen von CloudTrail Berechtigungen für den Schlüssel wird CloudTrail verhindert, dass Ereignisse in den Ereignisdatenspeicher aufgenommen werden, und verhindert, dass Benutzer Daten im Ereignisdatenspeicher abfragen, die mit dem Schlüssel verschlüsselt wurden. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden. Bevor Sie einen KMS-Schlüssel, den Sie bei einem Ereignisdatenspeicher verwenden, deaktivieren oder löschen, sollten Sie den Ereignisdatenspeicher löschen oder sichern.
**So aktualisieren Sie einen Ereignisdatenspeicher zur Verwendung Ihres KMS-Schlüssels**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Wählen Sie im linken Navigationsbereich **Event data stores** (Ereignisdatenspeicher) in **Lake** aus. Wählen Sie einen zu aktualisierenden Ereignisdatenspeicher aus.
1. Wählen Sie unter **Allgemeine Details** **Bearbeiten** aus.
1. Wenn **Verschlüsselung** noch nicht aktiviert ist, wählen **Sie Meine eigene** aus, AWS KMS key um Ihren Event-Datenspeicher mit Ihrem eigenen KMS-Schlüssel zu verschlüsseln.
Wählen Sie **Existing** (Bestehende) aus, um den Ereignisdatenspeicher mit Ihrem KMS-Schlüssel zu aktualisieren. Wählen Sie einen KMS-Schlüssel aus, der sich in derselben Region befindet wie der Ereignisdatenspeicher. Schlüssel aus anderen Konten werden nicht unterstützt.
**Geben Sie unter AWS KMS Alias eingeben** den Alias, für den Sie die Richtlinie zur Verwendung mit geändert haben CloudTrail, im folgenden Format `alias/` *MyAliasName* an. Weitere Informationen finden Sie unter [Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](#create-kms-key-policy-for-cloudtrail-update-trail).
Sie können einen Alias auswählen oder die global eindeutige Schlüssel-ID verwenden. Der Wert kann in einem der folgenden Formate angegeben sein:
+ **Aliasname**: `alias/MyAliasName`
+ **Alias-ARN**: `arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **Schlüssel-ARN**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **Global eindeutige Schlüssel-ID**: `12345678-1234-1234-1234-123456789012`
1. Wählen Sie **Änderungen speichern**.
**Anmerkung**
Wenn der von Ihnen ausgewählte KMS-Schlüssel deaktiviert ist oder dessen Löschung ansteht, können Sie den Ereignisdatenspeicher mit diesem KMS-Schlüssel nicht speichern. Sie können den KMS-Schlüssel aktivieren oder einen anderen auswählen. Weitere Informationen finden Sie unter [Schlüsselzustand: Auswirkung auf Ihren KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) im *AWS Key Management Service -Entwicklerhandbuch*.
# Aktivieren und Deaktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mit dem AWS CLI
In diesem Thema wird beschrieben, wie Sie die SSE-KMS-Verschlüsselung für CloudTrail Protokolldateien, Digestdateien und Ereignisdatenspeicher mithilfe von aktivieren und deaktivieren. AWS CLI Hintergrundinformationen dazu finden Sie unter [Verschlüsselung von CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeichern mit AWS KMS Schlüsseln (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md).
**Topics**
+ [
## Aktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mithilfe der AWS CLI
](#cloudtrail-log-file-encryption-cli-enable)
+ [
## Deaktivierung der Verschlüsselung für Protokolldateien und Digest-Dateien mithilfe von AWS CLI
](#cloudtrail-log-file-encryption-cli-disable)
## Aktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mithilfe der AWS CLI
+ [Aktivieren Sie die Verschlüsselung von Protokolldateien und Digest-Dateien für einen Trail](#log-encryption-trail)
+ [Aktivieren Sie die Verschlüsselung für einen Ereignisdatenspeicher](#log-encryption-eds)
**Aktivieren Sie die Verschlüsselung für Protokolldateien und Digest-Dateien für einen Trail**
1. Erstellen Sie einen Schlüssel mit der AWS CLI. Der Schlüssel, den Sie erstellen, muss sich in derselben Region befinden wie der S3-Bucket, der Ihre CloudTrail Protokolldateien empfängt. Für diesen Schritt verwenden Sie den AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)Befehl.
1. Rufen Sie die vorhandene Schlüsselrichtlinie ab, damit Sie sie für die Verwendung mit ändern können CloudTrail. Sie können die Schlüsselrichtlinie mit dem AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)Befehl abrufen.
1. Fügen Sie der Schlüsselrichtlinie die erforderlichen Abschnitte hinzu, CloudTrail damit Ihre Protokolldateien und Digest-Dateien verschlüsselt und Benutzer sie entschlüsseln können. Stellen Sie sicher, dass alle Benutzer, die die Protokolldateien lesen sollen, entsprechende Entschlüsselungsberechtigungen erhalten. Nehmen Sie keine Änderungen an bestehenden Abschnitten der Richtlinie vor. Weitere Informationen zu den einzubeziehenden Richtlinienabschnitten finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Hängen Sie die geänderte JSON-Richtliniendatei mithilfe des Befehls an den Schlüssel an. AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Führen Sie den `update-trail` Befehl CloudTrail `create-trail` oder mit dem `--kms-key-id` Parameter aus. Dieser Befehl ermöglicht die Verschlüsselung von Protokolldateien und Digest-Dateien.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
Der Parameter `--kms-key-id` gibt den Schlüssel an, dessen Richtlinien Sie für CloudTrail angepasst haben. Die folgenden Formate sind möglich:
+ **Aliasname**. Beispiel: `alias/MyAliasName`
+ **Alias-ARN**. Beispiel: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Schlüssel-ARN**. Beispiel: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **Global eindeutige Schlüssel-ID.** Beispiel: `12345678-1234-1234-1234-123456789012`
Nachfolgend finden Sie eine Beispielantwort:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Das Vorhandensein des `KmsKeyId` Elements weist darauf hin, dass die Verschlüsselung für Ihre Protokolldateien aktiviert wurde. Wenn die Überprüfung der Protokolldatei aktiviert wurde (dies wird dadurch angezeigt, dass das `LogFileValidationEnabled` Element auf true gesetzt ist), bedeutet dies auch, dass die Verschlüsselung für Ihre Digest-Dateien aktiviert wurde. Die verschlüsselten Logdateien und Digest-Dateien sollten innerhalb von etwa 5 Minuten in dem für den Trail konfigurierten S3-Bucket erscheinen.
**Aktivieren Sie die Verschlüsselung für einen Ereignisdatenspeicher**
1. Erstellen Sie einen Schlüssel mit der AWS CLI. Der erstellte Schlüssel muss sich in derselben Region befinden wie der Ereignisdatenspeicher. Führen Sie für diesen Schritt den AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)Befehl aus.
1. Holen Sie sich die vorhandene Schlüsselrichtlinie, die Sie bearbeiten möchten, damit sie verwendet werden kann CloudTrail. Sie können die Schlüsselrichtlinie abrufen, indem Sie den AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)Befehl ausführen.
1. Fügen Sie der Schlüsselrichtlinie die erforderlichen Abschnitte hinzu, CloudTrail damit Ihr Ereignisdatenspeicher verschlüsselt und Benutzer ihn entschlüsseln können. Stellen Sie sicher, dass allen Benutzern, die den Ereignisdatenspeicher lesen, Entschlüsselungsberechtigungen erteilt werden. Nehmen Sie keine Änderungen an bestehenden Abschnitten der Richtlinie vor. Weitere Informationen zu den einzubeziehenden Richtlinienabschnitten finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Hängen Sie die bearbeitete JSON-Richtliniendatei an den Schlüssel an, indem AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)Sie den Befehl ausführen.
1. Führen Sie den `update-event-data-store` Befehl CloudTrail `create-event-data-store` oder aus und fügen Sie den `--kms-key-id` Parameter hinzu. Dieser Befehl aktiviert die Verschlüsselung des Ereignisdatenspeichers.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
Der Parameter `--kms-key-id` gibt den Schlüssel an, dessen Richtlinien Sie für CloudTrail angepasst haben. Die folgenden vier Formate sind möglich:
+ **Aliasname**. Beispiel: `alias/MyAliasName`
+ **Alias-ARN**. Beispiel: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Schlüssel-ARN**. Beispiel: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **Global eindeutige Schlüssel-ID.** Beispiel: `12345678-1234-1234-1234-123456789012`
Nachfolgend finden Sie eine Beispielantwort:
```
{
"Name": "my-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"RetentionPeriod": "90",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"TerminationProtectionEnabled": true,
"AdvancedEventSelectors": [{
"Name": "Select all external events",
"FieldSelectors": [{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}]
}]
}
```
Das Vorhandensein des `KmsKeyId` Elements weist darauf hin, dass die Verschlüsselung für den Ereignisdatenspeicher aktiviert wurde.
## Deaktivierung der Verschlüsselung für Protokolldateien und Digest-Dateien mithilfe von AWS CLI
Um die Verschlüsselung von Protokoll- und Digest-Dateien für einen Trail zu beenden, führen Sie den Befehl aus `update-trail` und übergeben Sie eine leere Zeichenfolge an den Parameter: `kms-key-id`
```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Das Fehlen des `KmsKeyId` Werts bedeutet, dass die Verschlüsselung für Protokolldateien und Digest-Dateien nicht mehr aktiviert ist.
**Wichtig**
Sie können die Verschlüsselung für einen Ereignisdatenspeicher nicht beenden.
# Wie AWS CloudTrail verwendet AWS KMS
In diesem Abschnitt wird beschrieben, wie AWS KMS mit einem CloudTrail Trail gearbeitet wird, der mit einem SSE-KMS-Schlüssel verschlüsselt ist.
**Wichtig**
AWS CloudTrail und Amazon S3 unterstützt nur [symmetrisch AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Sie können keinen [asymmetrischen KMS-Schlüssel verwenden, um Ihre Protokolle](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) zu verschlüsseln. CloudTrail Hilfe zum Bestimmen, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter [Identifizieren unterschiedlicher Schlüsseltypen](https://docs.aws.amazon.com/kms/latest/developerguide/identify-key-types.html) im *Entwicklerhandbuch für AWS Key Management Service *.
Sie zahlen keine Gebühr für die Nutzung des Schlüssels, wenn Sie Protokolldateien CloudTrail lesen oder schreiben, die mit einem SSE-KMS-Schlüssel verschlüsselt sind. Sie zahlen jedoch eine Gebühr für die Nutzung des Schlüssels, wenn Sie auf CloudTrail Protokolldateien zugreifen, die mit einem SSE-KMS-Schlüssel verschlüsselt sind. [Informationen zur AWS KMS Preisgestaltung finden Sie unter AWS Key Management Service Preise.](https://aws.amazon.com/kms/pricing/) Informationen zu CloudTrail -Preisen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/).
## Erfahren Sie, wann Ihr KMS-Schlüssel für Ihren Trail verwendet wird
Verschlüsselung von CloudTrail Protokolldateien mit AWS KMS Builds auf der Amazon S3 S3-Funktion, die als serverseitige Verschlüsselung mit einem AWS KMS key (SSE-KMS) bezeichnet wird. Weitere Informationen zu SSE-KMS finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) im *Amazon Simple* Storage Service-Benutzerhandbuch.
Wenn Sie AWS CloudTrail die Verwendung von SSE-KMS zur Verschlüsselung Ihrer Protokolldateien konfigurieren CloudTrail und Amazon S3 Ihre verwendet, AWS KMS keys wenn Sie bestimmte Aktionen mit diesen Diensten ausführen. In den folgenden Abschnitten erläutern wir Ihnen, wann und wie diese Services Ihren KMS-Schlüssel verwenden können. Außerdem finden Sie weiterführende Informationen, anhand derer Sie diese Erklärungen praktisch nachvollziehen können.
**Contents**
+ [
### Sie konfigurieren CloudTrail , um Protokolldateien mit Ihrem zu verschlüsseln AWS KMS key
](#cloudtrail-details-update-configuration)
+ [
### CloudTrail legt eine Protokolldatei in Ihren S3-Bucket
](#cloudtrail-details-put-log-file)
+ [
### Sie erhalten eine verschlüsselte Protokolldatei aus Ihrem S3-Bucket
](#cloudtrail-details-get-log-file)
### Sie konfigurieren CloudTrail , um Protokolldateien mit Ihrem zu verschlüsseln AWS KMS key
Wenn Sie [Ihre CloudTrail Konfiguration für die Verwendung Ihres KMS-Schlüssels aktualisieren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html), CloudTrail sendet es eine [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage an, um AWS KMS zu überprüfen, ob der KMS-Schlüssel vorhanden ist und ob Sie CloudTrail berechtigt sind, ihn für die Verschlüsselung zu verwenden. CloudTrail verwendet den resultierenden Datenschlüssel nicht.
Die Anforderung des Typs `GenerateDataKey` enthält die folgenden Informationen für den[Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ Der [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) des CloudTrail Trails
+ Der ARN des S3-Buckets und der Pfad, in den die CloudTrail Protokolldateien geliefert werden
Die `GenerateDataKey` Anfrage führt zu einem Eintrag in Ihren CloudTrail Protokollen, der dem folgenden Beispiel ähnelt. Wenn Sie einen Logeintrag wie diesen sehen, können Sie feststellen, dass der AWS KMS `GenerateDataKey` Vorgang für einen bestimmten Trail CloudTrail aufgerufen wurde. AWS KMS hat den Datenschlüssel unter einem bestimmten KMS-Schlüssel erstellt.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSService",
"invokedBy": "cloudtrail.amazonaws.com"
},
"eventTime": "2024-12-06T20:14:46Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "cloudtrail.amazonaws.com",
"userAgent": "cloudtrail.amazonaws.com",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:123456789012:key/example1-6736-4661-bf00-exampleeb770",
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket-123456789012-9af1fb49/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T2010Z_TO50OLMG1hIQ1png.json.gz"
}
},
"responseElements": null,
"requestID": "a0555e85-7e8a-4765-bd8f-2222295558e1",
"eventID": "e4f3557e-7dbd-4e37-a00a-d86c137d1111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example1-6736-4661-bf00-exampleeb770"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"sharedEventID": "ce71d6be-0846-498e-851f-111a1af9078f",
"eventCategory": "Management"
}
```
### CloudTrail legt eine Protokolldatei in Ihren S3-Bucket
Jedes Mal, CloudTrail wenn eine Protokolldatei in Ihren S3-Bucket eingefügt wird, sendet Amazon S3 im Namen von eine [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage AWS KMS an CloudTrail. AWS KMS Generiert als Antwort auf diese Anfrage einen eindeutigen Datenschlüssel und sendet Amazon S3 dann zwei Kopien des Datenschlüssels, eine im Klartext und eine, die mit dem angegebenen KMS-Schlüssel verschlüsselt ist. Amazon S3 verwendet den Klartext-Datenschlüssel, um die CloudTrail Protokolldatei zu verschlüsseln, und entfernt den Klartext-Datenschlüssel dann so schnell wie möglich nach der Verwendung aus dem Speicher. Amazon S3 speichert den verschlüsselten Datenschlüssel als Metadaten mit der verschlüsselten CloudTrail Protokolldatei.
Die Anforderung des Typs `GenerateDataKey` enthält die folgenden Informationen für den[Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ Der [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) des CloudTrail Trails
+ Der ARN des S3-Objekts (die CloudTrail Protokolldatei)
Jede `GenerateDataKey` Anfrage führt zu einem Eintrag in Ihren CloudTrail Protokollen, der dem folgenden Beispiel ähnelt. Wenn Sie einen Logeintrag wie diesen sehen, können Sie feststellen, dass dieser die AWS KMS `GenerateDataKey` Operation für einen bestimmten Trail CloudTrail aufgerufen hat, um eine bestimmte Protokolldatei zu schützen. AWS KMS hat den Datenschlüssel unter dem angegebenen KMS-Schlüssel erstellt, der zweimal im selben Protokolleintrag angezeigt wird.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSService",
"invokedBy": "cloudtrail.amazonaws.com"
},
"eventTime": "2024-12-06T21:49:28Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "cloudtrail.amazonaws.com",
"userAgent": "cloudtrail.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1::trail/insights-trail",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket1-123456789012-7867ab0c/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T2150Z_hVXmrJzjZk2wAM2V.json.gz"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
},
"responseElements": null,
"requestID": "11117d14-9232-414a-b3d1-01bab4dc9f99",
"eventID": "999e9a50-512c-4e2a-84a3-111a5f511111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"sharedEventID": "5e663acc-b7fd-4cdd-8328-0eff862952fa",
"eventCategory": "Management"
}
```
### Sie erhalten eine verschlüsselte Protokolldatei aus Ihrem S3-Bucket
Jedes Mal, wenn Sie eine verschlüsselte CloudTrail Protokolldatei aus Ihrem S3-Bucket erhalten, sendet Amazon S3 in Ihrem Namen eine [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)Anfrage AWS KMS an, um den verschlüsselten Datenschlüssel der Protokolldatei zu entschlüsseln. Als Antwort auf diese Anfrage AWS KMS verwendet es Ihren KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln, und sendet dann den Klartext-Datenschlüssel an Amazon S3. Amazon S3 verwendet den Klartext-Datenschlüssel, um die CloudTrail Protokolldatei zu entschlüsseln, und entfernt den Klartext-Datenschlüssel dann so schnell wie möglich nach der Verwendung aus dem Speicher.
Die Anforderung des Typs `Decrypt` enthält die folgenden Informationen für den[Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ Der [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) des CloudTrail Trails
+ Der ARN des S3-Objekts (die CloudTrail Protokolldatei)
Jede `Decrypt` Anfrage führt zu einem Eintrag in Ihren CloudTrail Protokollen, der dem folgenden Beispiel ähnelt. Wenn Sie einen Protokolleintrag wie diesen sehen, können Sie feststellen, dass eine angenommene Rolle den AWS KMS `Decrypt` Vorgang für einen bestimmten Trail und eine bestimmte Protokolldatei aufgerufen hat. AWS KMS hat den Datenschlüssel unter einem bestimmten KMS-Schlüssel entschlüsselt.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-12-06T22:04:04Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2024-12-06T22:26:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket1-123456789012-7867ab0c/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T0000Z_aAAsHbGBdye3jp2R.json.gz"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "1ab2d2d2-111a-2222-a59b-11a2b3832b53",
"eventID": "af4d4074-2849-4b3d-1a11-a1aaa111a111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```