

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Actualización de un recurso para que utilice su clave de KMS con la consola
<a name="create-kms-key-policy-for-cloudtrail-update-trail"></a>

En la CloudTrail consola, actualice un almacén de datos de seguimiento o evento para usar una clave KMS. Tenga en cuenta que el uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Para más información, consulte [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

**Topics**
+ [Actualizar un registro de seguimiento para que utilice una clave de KMS](#kms-key-policy-update-trail)
+ [Actualizar un almacén de datos de eventos para que utilice una clave de KMS](#kms-key-policy-update-eds)

## Actualizar un registro de seguimiento para que utilice una clave de KMS
<a name="kms-key-policy-update-trail"></a>

Para actualizar una ruta y utilizarla para la AWS KMS key que la modificó CloudTrail, complete los siguientes pasos en la CloudTrail consola.

**nota**  
Si está utilizando un bucket de S3 existente con una [clave de bucket de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), CloudTrail debe tener permiso en la política de claves para utilizar las AWS KMS acciones `GenerateDataKey` y`DescribeKey`. Si `cloudtrail.amazonaws.com` no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.

Para actualizar una ruta mediante el AWS CLI, consulte[Activación y desactivación del cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS CLI](cloudtrail-log-file-encryption-cli.md).

**Para actualizar un registro de seguimiento a fin de utilizar su clave de KMS**

1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Elija **Trails (Registros de seguimiento)** y, a continuación, elija un nombre de registro de seguimiento.

1. En **General details (Detalles generales)**, elija**Edit (Editar)**.

1. En **Cifrado SSE-KMS de archivos de registro**, elija **Habilitado** si desea cifrar sus archivos de registro y de resumen con cifrado SSE-KMS en vez de SSE-S3. El valor predeterminado es **Enabled (Habilitado)**. Si no habilita el cifrado SSE-KMS, los archivos de registro y de resumen se cifrarán mediante el cifrado SSE-S3. Para obtener más información sobre el cifrado SSE-KMS, consulte [Uso del cifrado del lado del servidor con AWS Key Management Service (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). Para obtener más información sobre el cifrado SSE-S3, consulte [Uso de cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).

   Elija **Existing (Existente)** para actualizar el registro de seguimiento con su AWS KMS key. Elija una clave de KMS que esté en la misma región que el bucket de S3 que recibe sus archivos de registros. Para verificar la región a la que pertenece un bucket de S3, consulte sus propiedades en la consola de S3.
**nota**  
También puede escribir el ARN de una clave de otra cuenta. Para obtener más información, consulte [Actualización de un recurso para que utilice su clave de KMS con la consola](#create-kms-key-policy-for-cloudtrail-update-trail). La política de claves debe permitir CloudTrail el uso de la clave para cifrar los archivos de registro y los archivos de resumen, y permitir que los usuarios que especifique lean los archivos de registro o los archivos de resumen sin cifrar. Para obtener más información sobre cómo editar manualmente la política de claves, consulte [Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md).

   En **AWS KMS Alias**, especifique el alias con el que ha cambiado la política para usarla CloudTrail, en el formato. `alias/` *MyAliasName* Para obtener más información, consulte [Actualización de un recurso para que utilice su clave de KMS con la consola](#create-kms-key-policy-for-cloudtrail-update-trail).

   Puede escribir el nombre del alias, el ARN o el ID de clave único global. Si la clave de KMS pertenece a otra cuenta, compruebe que la política de claves tenga los permisos que le permiten utilizarla. El valor puede tener uno de los siguientes formatos:
   + **Nombre del alias**: `alias/MyAliasName`
   + **ARN del alias**: `arn:aws:kms:region:123456789012:alias/MyAliasName` 
   + **ARN de la clave**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **ID de la clave único global**: `12345678-1234-1234-1234-123456789012` 

1. Elija **Update trail (Actualizar registro de seguimiento)**.
**nota**  
Si la clave de KMS que eligió está deshabilitada o pendiente de eliminación, no podrá guardar el registro de seguimiento con dicha clave de KMS. Puede habilitar la clave de KMS o elegir otra. Para obtener más información, consulte [Estado de la clave: efecto en su clave de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) en la *Guía para desarrolladores AWS Key Management Service *.

## Actualizar un almacén de datos de eventos para que utilice una clave de KMS
<a name="kms-key-policy-update-eds"></a>

Para actualizar un banco de datos de eventos para AWS KMS key que utilice el que ha modificado CloudTrail, complete los siguientes pasos en la CloudTrail consola.

Para actualizar un banco de datos de eventos mediante el AWS CLI, consulte[Actualice un banco de datos de eventos con el AWS CLI](lake-cli-update-eds.md).

**importante**  
La desactivación o eliminación de la clave KMS, o la eliminación de CloudTrail los permisos de la clave, CloudTrail impide que los eventos se introduzcan en el almacén de datos de eventos y evita que los usuarios consulten los datos del almacén de datos de eventos que estaba cifrado con la clave. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar. Antes de deshabilitar o eliminar una clave de KMS que se esté utilizando con un almacén de datos de eventos, elimínelo o haga una copia de seguridad de este.

**Para actualizar un almacén de datos de eventos para que utilice su clave de KMS**

1. Inicie sesión en Consola de administración de AWS y abra la consola en CloudTrail . [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)

1. En el panel de navegación, elija **Event data stores** (Almacenes de datos de eventos) en **Lake**. Elija un almacén de datos de eventos para actualizarlo.

1. En **General details (Detalles generales)**, elija**Edit (Editar)**.

1. Si la opción **Cifrado** aún no está habilitada, seleccione **Utilizar mi propia AWS KMS key** para cifrar el almacén de datos de eventos con su propia clave de KMS.

   Elija **Existing** (Existente) para actualizar el almacén de datos de eventos con su clave de KMS. Seleccione una clave de KMS que esté en la misma región que el almacén de datos de eventos. No se admite el uso de una clave de otra cuenta.

   En **Introducir AWS KMS alias**, especifique el alias con el que ha cambiado la política para usarla CloudTrail, en el formato `alias/`*MyAliasName*. Para obtener más información, consulte [Actualización de un recurso para que utilice su clave de KMS con la consola](#create-kms-key-policy-for-cloudtrail-update-trail).

   Puede elegir un alias o utilizar el ID global único de la clave. El valor puede tener uno de los siguientes formatos:
   + **Nombre del alias**: `alias/MyAliasName`
   + **ARN del alias**: `arn:aws:kms:region:123456789012:alias/MyAliasName` 
   + **ARN de la clave**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **ID de la clave único global**: `12345678-1234-1234-1234-123456789012` 

1. Seleccione **Save changes (Guardar cambios)**.
**nota**  
Si la clave de KMS que eligió está deshabilitada o pendiente de eliminación, no podrá guardar la configuración del almacén de datos de eventos con dicha clave de KMS. Puede habilitar la clave de KMS o elegir una diferente. Para obtener más información, consulte [Estado de la clave: efecto en su clave de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) en la *Guía para desarrolladores AWS Key Management Service *.