

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Mettre à jour une ressource pour utiliser votre clé KMS avec la console
<a name="create-kms-key-policy-for-cloudtrail-update-trail"></a>

Sur la CloudTrail console, mettez à jour un journal ou un magasin de données d'événements pour utiliser une clé KMS. Sachez que l'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Pour plus d’informations, consultez [Tarification d’AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

**Topics**
+ [

## Mettre à jour un journal de suivi pour utiliser une clé KMS
](#kms-key-policy-update-trail)
+ [

## Mettre à jour un magasin de données d'événement pour qu'il utilise une clé KMS
](#kms-key-policy-update-eds)

## Mettre à jour un journal de suivi pour utiliser une clé KMS
<a name="kms-key-policy-update-trail"></a>

Pour mettre à jour un journal afin d'utiliser AWS KMS key celui pour lequel vous l'avez modifié CloudTrail, procédez comme suit dans la CloudTrail console.

**Note**  
Si vous utilisez un compartiment S3 existant avec une [clé de compartiment S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), vous CloudTrail devez être autorisé dans la politique des clés à utiliser les AWS KMS actions `GenerateDataKey` et`DescribeKey`. Si `cloudtrail.amazonaws.com` n'est pas accordé ces autorisations dans la politique de clé, vous ne pouvez pas créer ou mettre à jour un journal de suivi.

Pour mettre à jour un parcours à l'aide du AWS CLI, voir[Activation et désactivation du chiffrement pour les fichiers CloudTrail journaux, les fichiers condensés et les banques de données d'événements à l'aide du AWS CLI](cloudtrail-log-file-encryption-cli.md).

**Mettre à jour un journal de suivi de sorte qu'il utilise votre clé KMS**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Sélectionnez **Trails** (Journaux de suivi), puis choisissez un nom de journal de suivi.

1. Dans **General details** (Détails généraux), choisissez **Edit** (Modifier).

1. Pour le **chiffrement SSE-KMS des fichiers journaux**, choisissez **Activé** si vous souhaitez chiffrer vos fichiers journaux et digérer les fichiers à l'aide du chiffrement SSE-KMS au lieu du cryptage SSE-S3. La valeur par défaut est **Activé**. Si vous n'activez pas le chiffrement SSE-KMS, vos fichiers journaux et vos fichiers de synthèse sont chiffrés à l'aide du chiffrement SSE-S3. Pour plus d'informations sur le chiffrement SSE-KMS, voir [Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). Pour plus d'informations sur SSE-S3, consultez [Utilisation du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).

   Choisissez **Existing** (Existant) pour mettre à jour votre journal de suivi avec votre AWS KMS key. Choisissez une clé KMS située dans la même région que le compartiment S3 qui reçoit vos fichiers journaux. Pour vérifier la région pour un compartiment S3, consultez ses propriétés dans la console S3.
**Note**  
Vous pouvez également saisir l’ARN d’une clé à partir d’un autre compte. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](#create-kms-key-policy-for-cloudtrail-update-trail). La politique de clé doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux et digérer les fichiers, et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux ou à digérer les fichiers sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez [Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md).

   Dans **AWS KMS Alias**, spécifiez l'alias pour lequel vous avez modifié la politique à utiliser CloudTrail, dans le format `alias/`*MyAliasName*. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](#create-kms-key-policy-for-cloudtrail-update-trail).

   Vous pouvez saisir le nom de l'alias, son ARN ou l'ID de clé globalement unique. Si la clé KMS appartient à un autre compte, vérifiez que la politique de clé dispose des autorisations qui vous permettent de l'utiliser. La valeur peut avoir l'un des formats suivants :
   + **Nom d'alias** : `alias/MyAliasName`
   + **ARN d'alias** : `arn:aws:kms:region:123456789012:alias/MyAliasName` 
   + **ARN de clé** : `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **ID de clé globalement unique** : `12345678-1234-1234-1234-123456789012` 

1. Choisissez **Update trail** (Mettre à jour un journal de suivi).
**Note**  
Si la clé KMS que vous avez sélectionnée est désactivée ou est en attente de suppression, vous ne pouvez pas enregistrer le journal de suivi avec cette clé KMS. Vous pouvez activer la clé KMS ou en choisir une autre. Pour plus d'informations, consultez [État de la clé : effet sur votre clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) dans le *Guide du développeur AWS Key Management Service *.

## Mettre à jour un magasin de données d'événement pour qu'il utilise une clé KMS
<a name="kms-key-policy-update-eds"></a>

Pour mettre à jour un magasin de données d'événements afin d'utiliser AWS KMS key celui pour lequel vous avez modifié CloudTrail, procédez comme suit dans la CloudTrail console.

Pour mettre à jour un magasin de données d'événements à l'aide du AWS CLI, voir[Mettez à jour un magasin de données d'événements avec le AWS CLI](lake-cli-update-eds.md).

**Important**  
La désactivation ou la suppression de la clé KMS, ou la suppression des CloudTrail autorisations associées à la clé, CloudTrail empêche l'ingestion d'événements dans le magasin de données d'événements et empêche les utilisateurs d'interroger les données du magasin de données d'événements chiffré avec la clé. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée. Avant de désactiver ou de supprimer une clé KMS que vous utilisez avec un magasin de données d'événement, supprimez ou sauvegardez votre magasin de données d'événement.

**Mettre à jour un magasin de données d'événement pour utiliser votre clé KMS**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Dans le panneau de navigation de gauche, choisissez **Event data stores** (Magasin de données d'événement) dans **Lake** (Lac). Choisissez un magasin de données d'événement à mettre à jour.

1. Dans **General details** (Détails généraux), choisissez **Edit** (Modifier).

1. Pour **le chiffrement**, s'il n'est pas déjà activé, choisissez **Utiliser le mien AWS KMS key** pour chiffrer votre banque de données d'événements avec votre propre clé KMS.

   Choisissez **Existing** (Existant) pour mettre à jour votre magasin de données d'événement avec votre clé KMS. Choisissez une clé KMS située dans la même région que l'entrepôt de données d'événement. Une clé provenant d'un autre compte n'est pas prise en charge.

   Dans **Enter AWS KMS Alias**, spécifiez l'alias pour lequel vous avez modifié la politique à utiliser CloudTrail, dans le format `alias/`*MyAliasName*. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](#create-kms-key-policy-for-cloudtrail-update-trail).

   Vous pouvez choisir un alias ou utiliser l'identifiant de clé unique au monde. La valeur peut avoir l'un des formats suivants :
   + **Nom d'alias** : `alias/MyAliasName`
   + **ARN d'alias** : `arn:aws:kms:region:123456789012:alias/MyAliasName` 
   + **ARN de clé** : `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012` 
   + **ID de clé globalement unique** : `12345678-1234-1234-1234-123456789012` 

1. Sélectionnez **Enregistrer les modifications**.
**Note**  
Si la clé KMS que vous avez choisie est désactivée ou en attente de suppression, vous ne pouvez pas sauvegarder la configuration du magasin de données d'événement avec cette clé KMS. Vous pouvez activer la clé KMS ou en choisir une autre. Pour plus d'informations, consultez [État de la clé : effet sur votre clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) dans le *Guide du développeur AWS Key Management Service *.