Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengenkripsi file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan AWS KMS kunci (SSE-KMS)
Secara default, file log dan file digest yang dikirimkan CloudTrail ke bucket Anda dienkripsi dengan menggunakan [enkripsi sisi server dengan kunci KMS (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). [Jika Anda tidak mengaktifkan enkripsi SSE-KMS, file log dan file digest Anda dienkripsi menggunakan enkripsi SSE-S3.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)
**catatan**
Jika Anda menggunakan bucket S3 yang sudah ada dengan [Kunci bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), izin CloudTrail harus diizinkan dalam kebijakan kunci untuk menggunakan AWS KMS tindakan `GenerateDataKey` dan. `DescribeKey` Jika izin `cloudtrail.amazonaws.com` tersebut tidak diberikan dalam kebijakan utama, Anda tidak dapat membuat atau memperbarui jejak.
Untuk menggunakan SSE-KMS dengan CloudTrail, Anda membuat dan mengelola file. [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) Anda melampirkan kebijakan ke kunci yang menentukan pengguna mana yang dapat menggunakan kunci untuk mengenkripsi dan mendekripsi file CloudTrail log dan mencerna file. Dekripsi mulus melalui S3. Ketika pengguna resmi kunci membaca file CloudTrail log atau mencerna file, S3 mengelola dekripsi, dan pengguna yang berwenang dapat membaca file dalam bentuk yang tidak terenkripsi.
Pendekatan ini memiliki keuntungan sebagai berikut:
+ Anda dapat membuat dan mengelola kunci KMS sendiri.
+ Anda dapat menggunakan satu kunci KMS untuk mengenkripsi dan mendekripsi file log dan mencerna file untuk beberapa akun di semua Wilayah.
+ Anda memiliki kendali atas siapa yang dapat menggunakan kunci Anda untuk mengenkripsi dan mendekripsi file CloudTrail log dan mencerna file. Anda dapat menetapkan izin untuk kunci kepada pengguna di organisasi Anda sesuai dengan kebutuhan Anda.
+ Anda telah meningkatkan keamanan. Dengan fitur ini, untuk membaca file log atau mencerna file, izin berikut diperlukan:
+ Pengguna harus memiliki izin baca S3 untuk bucket yang berisi file log dan mencerna file.
+ Pengguna juga harus memiliki kebijakan atau peran yang diterapkan yang memungkinkan izin dekripsi oleh kebijakan kunci KMS.
+ Karena S3 secara otomatis mendekripsi file log dan mencerna file untuk permintaan dari pengguna yang berwenang untuk menggunakan kunci KMS, enkripsi SSE-KMS untuk file tersebut kompatibel dengan aplikasi yang membaca data log. CloudTrail
**catatan**
Kunci KMS yang Anda pilih harus dibuat di AWS Wilayah yang sama dengan bucket Amazon S3 yang menerima file log dan mencerna file Anda. Misalnya, jika file log dan file digest akan disimpan dalam bucket di Wilayah AS Timur (Ohio), Anda harus membuat atau memilih kunci KMS yang dibuat di Wilayah tersebut. Untuk memverifikasi Wilayah untuk bucket Amazon S3, periksa propertinya di konsol Amazon S3.
Secara default, penyimpanan data acara dienkripsi oleh. CloudTrail Anda memiliki opsi untuk menggunakan kunci KMS Anda sendiri untuk enkripsi saat Anda membuat atau memperbarui penyimpanan data acara.
## Mengaktifkan enkripsi file log
**catatan**
Jika Anda membuat kunci KMS di CloudTrail konsol, CloudTrail tambahkan bagian kebijakan kunci KMS yang diperlukan untuk Anda. Ikuti prosedur ini jika Anda membuat kunci di konsol IAM atau AWS CLI dan Anda perlu menambahkan bagian kebijakan yang diperlukan secara manual.
Untuk mengaktifkan enkripsi SSE-KMS untuk file CloudTrail log, lakukan langkah-langkah tingkat tinggi berikut:
1. Buat kunci KMS.
+ Untuk informasi tentang membuat kunci KMS dengan Konsol Manajemen AWS, lihat [Membuat Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*.
+ Untuk informasi tentang membuat kunci KMS dengan AWS CLI, lihat [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
**catatan**
Kunci KMS yang Anda pilih harus berada di Wilayah yang sama dengan bucket S3 yang menerima file log dan mencerna file Anda. Untuk memverifikasi Region untuk bucket S3, periksa properti bucket di konsol S3.
1. Tambahkan bagian kebijakan ke kunci yang memungkinkan CloudTrail untuk mengenkripsi dan pengguna untuk mendekripsi file log dan mencerna file.
+ Untuk informasi tentang apa yang harus disertakan dalam kebijakan, lihat[Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail](create-kms-key-policy-for-cloudtrail.md).
**Awas**
Pastikan untuk menyertakan izin dekripsi dalam kebijakan untuk semua pengguna yang perlu membaca file log atau mencerna file. Jika Anda tidak melakukan langkah ini sebelum menambahkan kunci ke konfigurasi jejak Anda, pengguna tanpa izin dekripsi tidak dapat membaca file terenkripsi sampai Anda memberi mereka izin tersebut.
+ Untuk informasi tentang mengedit kebijakan dengan konsol IAM, lihat [Mengedit Kebijakan Utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di *Panduan AWS Key Management Service Pengembang*.
+ Untuk informasi tentang melampirkan kebijakan ke kunci KMS dengan AWS CLI, lihat. [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Perbarui penyimpanan data jejak atau acara Anda untuk menggunakan kunci KMS yang kebijakannya Anda modifikasi. CloudTrail
+ Untuk memperbarui penyimpanan data jejak atau peristiwa menggunakan CloudTrail konsol, lihat[Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol](create-kms-key-policy-for-cloudtrail-update-trail.md).
+ Untuk memperbarui penyimpanan data jejak atau peristiwa menggunakan AWS CLI, lihat[Mengaktifkan dan menonaktifkan enkripsi untuk file CloudTrail log, mencerna file dan penyimpanan data peristiwa dengan AWS CLI](cloudtrail-log-file-encryption-cli.md).
CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat [Menggunakan kunci Multi-region](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) di Panduan *AWS Key Management Service Pengembang*.
Bagian selanjutnya menjelaskan bagian kebijakan yang diperlukan oleh kebijakan kunci KMS Anda untuk digunakan. CloudTrail
# Memberikan izin untuk membuat kunci KMS
Anda dapat memberikan izin kepada pengguna untuk membuat AWS KMS key dengan [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)kebijakan tersebut.
**Untuk memberikan izin untuk membuat kunci KMS**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pilih grup atau pengguna yang ingin Anda berikan izin.
1. Pilih tab **Izin**.
1. Dari daftar **Tambahkan izin**, pilih **Lampirkan kebijakan**.
1. Cari **AWSKeyManagementServicePowerUser**, pilih kebijakan, lalu pilih **Lampirkan kebijakan**.
Pengguna sekarang memiliki izin untuk membuat kunci KMS. Untuk informasi selengkapnya tentang membuat kebijakan, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) di *Panduan Pengguna IAM*.
# Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail
Anda dapat membuat AWS KMS key dalam tiga cara:
+ CloudTrail Konsol
+ Konsol AWS Manajemen
+ The AWS CLI
**catatan**
Jika Anda membuat kunci KMS di CloudTrail konsol, CloudTrail tambahkan kebijakan kunci KMS yang diperlukan untuk Anda. Anda tidak perlu menambahkan pernyataan kebijakan secara manual. Lihat [Kebijakan kunci KMS default dibuat di konsol CloudTrail](default-kms-key-policy.md).
Jika Anda membuat kunci KMS di Konsol Manajemen AWS atau AWS CLI, Anda harus menambahkan bagian kebijakan ke kunci sehingga Anda dapat menggunakannya dengan CloudTrail. Kebijakan harus mengizinkan penggunaan kunci CloudTrail untuk mengenkripsi file log, mencerna file, dan penyimpanan data peristiwa, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dan mencerna file dalam bentuk yang tidak terenkripsi.
Lihat sumber daya berikut:
+ Untuk membuat kunci KMS dengan tombol AWS CLI, lihat [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
+ Untuk mengedit kebijakan kunci KMS CloudTrail, lihat [Mengedit Kebijakan Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di *Panduan AWS Key Management Service Pengembang*.
+ Untuk detail teknis tentang cara CloudTrail penggunaan AWS KMS, lihat[Bagaimana AWS CloudTrail menggunakan AWS KMS](how-kms-works-with-cloudtrail.md).
**Topics**
+ [
## Bagian kebijakan kunci KMS yang diperlukan untuk digunakan dengan CloudTrail
](#create-kms-key-policy-for-cloudtrail-policy-sections)
+ [
## Memberikan izin enkripsi untuk jalur
](#create-kms-key-policy-for-cloudtrail-encrypt)
+ [
## Memberikan izin enkripsi untuk penyimpanan data acara
](#create-kms-key-policy-for-cloudtrail-encrypt-eds)
+ [
## Memberikan izin dekripsi untuk jalur
](#create-kms-key-policy-for-cloudtrail-decrypt)
+ [
## Memberikan izin dekripsi untuk penyimpanan data acara
](#create-kms-key-policy-for-cloudtrail-decrypt-eds)
+ [
## Aktifkan CloudTrail untuk menggambarkan properti kunci KMS
](#create-kms-key-policy-for-cloudtrail-describe)
+ [
# Kebijakan kunci KMS default dibuat di konsol CloudTrail
](default-kms-key-policy.md)
## Bagian kebijakan kunci KMS yang diperlukan untuk digunakan dengan CloudTrail
Jika Anda membuat kunci KMS dengan konsol AWS Manajemen atau AWS CLI, maka Anda harus, setidaknya, menambahkan pernyataan berikut ke kebijakan kunci KMS Anda agar dapat bekerja dengannya. CloudTrail
**Topics**
+ [
### Elemen kebijakan kunci KMS yang diperlukan untuk jalur
](#required-kms-key-policy-trails)
+ [
### Diperlukan elemen kebijakan kunci KMS untuk penyimpanan data acara
](#required-kms-key-policy-eventdatastores)
### Elemen kebijakan kunci KMS yang diperlukan untuk jalur
1. Berikan izin untuk mengenkripsi CloudTrail log dan mencerna file. Untuk informasi selengkapnya, lihat [Memberikan izin enkripsi untuk jalur](#create-kms-key-policy-for-cloudtrail-encrypt).
1. Berikan izin untuk mendekripsi CloudTrail log dan mencerna file. Untuk informasi selengkapnya, lihat [Memberikan izin dekripsi untuk jalur](#create-kms-key-policy-for-cloudtrail-decrypt). Jika Anda menggunakan bucket S3 yang sudah ada dengan [Kunci Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), `kms:Decrypt` izin diperlukan untuk membuat atau memperbarui jejak dengan enkripsi SSE-KMS diaktifkan.
1. Aktifkan CloudTrail untuk menggambarkan properti kunci KMS. Untuk informasi selengkapnya, lihat [Aktifkan CloudTrail untuk menggambarkan properti kunci KMS](#create-kms-key-policy-for-cloudtrail-describe).
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur atau jalur tertentu. Nilai `aws:SourceArn` selalu jejak ARN (atau array jejak ARNs) yang menggunakan kunci KMS. Pastikan untuk menambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS untuk jalur yang ada.
Kunci `aws:SourceAccount` kondisi juga didukung, tetapi tidak disarankan. Nilai `aws:SourceAccount` adalah ID akun pemilik jejak, atau untuk jalur organisasi, ID akun manajemen.
**penting**
Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan.
Jika enkripsi diaktifkan pada jejak, dan kunci KMS dinonaktifkan, atau kebijakan kunci KMS tidak dikonfigurasi dengan benar CloudTrail, tidak CloudTrail dapat mengirimkan log.
### Diperlukan elemen kebijakan kunci KMS untuk penyimpanan data acara
1. Berikan izin untuk mengenkripsi penyimpanan data acara CloudTrail Lake. Untuk informasi selengkapnya, lihat [Memberikan izin enkripsi untuk penyimpanan data acara](#create-kms-key-policy-for-cloudtrail-encrypt-eds).
1. Berikan izin untuk mendekripsi penyimpanan data acara CloudTrail Lake. Untuk informasi selengkapnya, lihat [Memberikan izin dekripsi untuk penyimpanan data acara](#create-kms-key-policy-for-cloudtrail-decrypt-eds).
Saat Anda membuat penyimpanan data acara dan mengenkripsi dengan kunci KMS, atau menjalankan kueri pada penyimpanan data acara yang Anda enkripsi dengan kunci KMS, Anda harus memiliki akses tulis ke kunci KMS. Kebijakan kunci KMS harus memiliki akses ke CloudTrail, dan kunci KMS harus dapat dikelola oleh pengguna yang menjalankan operasi (seperti kueri) pada penyimpanan data peristiwa.
1. Aktifkan CloudTrail untuk menggambarkan properti kunci KMS. Untuk informasi selengkapnya, lihat [Aktifkan CloudTrail untuk menggambarkan properti kunci KMS](#create-kms-key-policy-for-cloudtrail-describe).
Kunci `aws:SourceArn` dan `aws:SourceAccount` kondisi tidak didukung dalam kebijakan kunci KMS untuk penyimpanan data peristiwa.
**penting**
Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan.
Jika enkripsi diaktifkan pada penyimpanan data peristiwa, dan kunci KMS dinonaktifkan atau dihapus, atau kebijakan kunci KMS tidak dikonfigurasi dengan benar CloudTrail, tidak CloudTrail dapat mengirimkan peristiwa ke penyimpanan data acara Anda.
## Memberikan izin enkripsi untuk jalur
**Example Izinkan CloudTrail untuk mengenkripsi file log dan mencerna file atas nama akun tertentu**
CloudTrail memerlukan izin eksplisit untuk menggunakan kunci KMS untuk mengenkripsi file log dan mencerna file atas nama akun tertentu. Untuk menentukan akun, tambahkan pernyataan wajib berikut ke kebijakan kunci KMS Anda dan ganti *account-id**region*, dan *trailName* dengan nilai yang sesuai untuk konfigurasi Anda. Anda dapat menambahkan akun tambahan IDs ke `EncryptionContext` bagian untuk mengaktifkan akun tersebut untuk digunakan CloudTrail untuk menggunakan kunci KMS Anda untuk mengenkripsi file log dan mencerna file.
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS untuk jejak. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur atau jalur tertentu.
```
{
"Sid": "AllowCloudTrailEncryptLogs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
}
}
}
```
**Example**
Contoh pernyataan kebijakan berikut menggambarkan bagaimana akun lain dapat menggunakan kunci KMS Anda untuk mengenkripsi file CloudTrail log dan mencerna file.
**Skenario**
+ Kunci KMS Anda ada di akun*111111111111*.
+ Baik Anda dan akun *222222222222* akan mengenkripsi log.
Dalam kebijakan, Anda menambahkan satu atau beberapa akun yang mengenkripsi dengan kunci Anda ke akun. CloudTrail **EncryptionContext** Ini membatasi penggunaan kunci Anda CloudTrail untuk mengenkripsi file log dan mencerna file hanya untuk akun yang Anda tentukan. Ketika Anda memberikan *222222222222* izin root akun untuk mengenkripsi file log dan mencerna file, itu mendelegasikan izin ke administrator akun untuk mengenkripsi izin yang diperlukan untuk pengguna lain di akun itu. Administrator akun melakukan ini dengan mengubah kebijakan yang terkait dengan pengguna IAM tersebut.
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur yang ditentukan. Kondisi ini tidak didukung dalam kebijakan kunci KMS untuk penyimpanan data peristiwa.
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableCloudTrailEncryptPermissions",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": [
"arn:aws:cloudtrail:*:111111111111:trail/*",
"arn:aws:cloudtrail:*:222222222222:trail/*"
]
},
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Untuk informasi selengkapnya tentang mengedit kebijakan kunci KMS untuk digunakan CloudTrail, lihat [Mengedit kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di Panduan AWS Key Management Service Pengembang.
## Memberikan izin enkripsi untuk penyimpanan data acara
Kebijakan untuk kunci KMS yang digunakan untuk mengenkripsi penyimpanan data peristiwa CloudTrail Lake tidak dapat menggunakan kunci `aws:SourceArn` kondisi atau. `aws:SourceAccount` Berikut ini adalah contoh kebijakan kunci KMS untuk penyimpanan data acara.
```
{
"Sid": "AllowCloudTrailEncryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
## Memberikan izin dekripsi untuk jalur
Sebelum Anda menambahkan kunci KMS ke CloudTrail konfigurasi Anda, penting untuk memberikan izin dekripsi kepada semua pengguna yang membutuhkannya. Pengguna yang memiliki izin enkripsi tetapi tidak memiliki izin dekripsi tidak dapat membaca log terenkripsi. Jika Anda menggunakan bucket S3 yang sudah ada dengan [Kunci Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), `kms:Decrypt` izin diperlukan untuk membuat atau memperbarui jejak dengan enkripsi SSE-KMS diaktifkan.
**Aktifkan CloudTrail izin dekripsi log**
Pengguna kunci Anda harus diberikan izin eksplisit untuk membaca file log yang CloudTrail telah dienkripsi. Untuk memungkinkan pengguna membaca log terenkripsi, tambahkan pernyataan wajib berikut ke kebijakan kunci KMS Anda, modifikasi `Principal` bagian untuk menambahkan baris untuk setiap prinsipal yang ingin Anda dekripsi dengan menggunakan kunci KMS Anda.
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Berikut ini adalah contoh kebijakan yang diperlukan untuk mengizinkan kepala CloudTrail layanan mendekripsi log jejak.
```
{
"Sid": "AllowCloudTrailDecryptTrail",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
### Izinkan pengguna di akun Anda untuk mendekripsi log jejak dengan kunci KMS Anda
**Contoh**
Pernyataan kebijakan ini menggambarkan cara mengizinkan pengguna atau peran di akun Anda menggunakan kunci Anda untuk membaca log terenkripsi di bucket S3 akun Anda.
**Example Skenario**
+ Kunci KMS Anda, ember S3, dan pengguna IAM Bob ada di akun. `111111111111`
+ Anda memberi izin kepada pengguna IAM Bob untuk mendekripsi CloudTrail log di bucket S3.
Dalam kebijakan utama, Anda mengaktifkan izin dekripsi CloudTrail log untuk pengguna IAM Bob.
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/Bob"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**Topics**
### Izinkan pengguna di akun lain untuk mendekripsi log jejak dengan kunci KMS Anda
Anda dapat mengizinkan pengguna di akun lain untuk menggunakan kunci KMS Anda untuk mendekripsi log jejak. Perubahan yang diperlukan pada kebijakan utama Anda bergantung pada apakah bucket S3 ada di akun Anda atau di akun lain.
#### Izinkan pengguna bucket di akun lain untuk mendekripsi log
**Contoh**
Pernyataan kebijakan ini menggambarkan cara mengizinkan pengguna IAM atau peran di akun lain untuk menggunakan kunci Anda untuk membaca log terenkripsi dari bucket S3 di akun lain.
**Skenario**
+ Kunci KMS Anda ada di akun`111111111111`.
+ Pengguna IAM Alice dan ember S3 ada di akun. `222222222222`
Dalam hal ini, Anda memberikan CloudTrail izin untuk mendekripsi log di bawah akun`222222222222`, dan Anda memberikan izin kebijakan pengguna IAM Alice untuk menggunakan kunci Anda`KeyA`, yang ada di akun. `111111111111`
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:root"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:111111111111:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Pernyataan kebijakan pengguna IAM Alice:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111111111111:key/KeyA"
}
]
}
```
------
#### Izinkan pengguna di akun lain untuk mendekripsi log jejak dari bucket Anda
**Example**
Kebijakan ini menggambarkan bagaimana akun lain dapat menggunakan kunci Anda untuk membaca log terenkripsi dari bucket S3 Anda.
**Example Skenario**
+ Kunci KMS dan bucket S3 Anda ada di akun. `111111111111`
+ Pengguna yang membaca log dari bucket Anda ada di akun`222222222222`.
Untuk mengaktifkan skenario ini, Anda mengaktifkan izin dekripsi untuk peran IAM **CloudTrailReadRole**di akun Anda, lalu berikan izin akun lain untuk mengambil peran tersebut.
Pernyataan kebijakan kunci KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:role/CloudTrailReadRole"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**CloudTrailReadRole**pernyataan kebijakan entitas kepercayaan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CloudTrail access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::222222222222:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk informasi tentang mengedit kebijakan kunci KMS untuk digunakan CloudTrail, lihat [Mengedit Kebijakan Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di *Panduan AWS Key Management Service Pengembang*.
## Memberikan izin dekripsi untuk penyimpanan data acara
Kebijakan dekripsi untuk kunci KMS yang digunakan dengan penyimpanan data peristiwa CloudTrail Lake mirip dengan yang berikut ini. Pengguna atau peran ARNs yang ditentukan sebagai nilai untuk `Principal` perlu mendekripsi izin untuk membuat atau memperbarui penyimpanan data peristiwa, menjalankan kueri, atau mendapatkan hasil kueri.
```
{
"Sid": "EnableUserKeyPermissionsEds"
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
Berikut ini adalah contoh kebijakan yang diperlukan untuk memungkinkan kepala CloudTrail layanan mendekripsi penyimpanan data peristiwa.
```
{
"Sid": "AllowCloudTrailDecryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
## Aktifkan CloudTrail untuk menggambarkan properti kunci KMS
CloudTrail membutuhkan kemampuan untuk menggambarkan sifat-sifat kunci KMS. Untuk mengaktifkan fungsi ini, tambahkan pernyataan wajib berikut sebagaimana adanya ke kebijakan kunci KMS Anda. Pernyataan ini tidak memberikan izin CloudTrail apa pun di luar izin lain yang Anda tentukan.
Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jalur atau jalur tertentu.
```
{
"Sid": "AllowCloudTrailAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Untuk informasi selengkapnya tentang mengedit kebijakan kunci KMS, lihat [Mengedit Kebijakan Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) di *Panduan AWS Key Management Service Pengembang*.
# Kebijakan kunci KMS default dibuat di konsol CloudTrail
Jika Anda membuat AWS KMS key di CloudTrail konsol, kebijakan berikut akan dibuat secara otomatis untuk Anda. Kebijakan ini mengizinkan izin ini:
+ Mengizinkan izin Akun AWS (root) untuk kunci KMS.
+ Memungkinkan CloudTrail untuk mengenkripsi file log dan mencerna file di bawah kunci KMS dan menjelaskan kunci KMS.
+ Memungkinkan semua pengguna di akun yang ditentukan untuk mendekripsi file log dan mencerna file.
+ Memungkinkan semua pengguna di akun yang ditentukan untuk membuat alias KMS untuk kunci KMS.
+ Mengaktifkan dekripsi log lintas akun untuk ID akun akun yang membuat jejak.
**Topics**
+ [
## Kebijakan kunci KMS default untuk jalur
](#default-kms-key-policy-trail)
+ [
## Kebijakan kunci KMS default untuk penyimpanan data acara CloudTrail Lake
](#default-kms-key-policy-eds)
## Kebijakan kunci KMS default untuk jalur
Berikut ini adalah kebijakan default yang dibuat untuk AWS KMS key yang Anda gunakan dengan jejak.
**catatan**
Kebijakan tersebut mencakup pernyataan untuk mengizinkan lintas akun mendekripsi file log dan mencerna file dengan kunci KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:root",
"arn:aws:iam::111111111111:user/username"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
}
]
}
```
------
## Kebijakan kunci KMS default untuk penyimpanan data acara CloudTrail Lake
Berikut ini adalah kebijakan default yang dibuat untuk AWS KMS key yang Anda gunakan dengan penyimpanan data peristiwa di CloudTrail Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111:assumed-role/example-role-name"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------
# Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol
Di CloudTrail konsol, perbarui jejak atau penyimpanan data acara untuk menggunakan kunci KMS. Ketahuilah bahwa menggunakan kunci KMS Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Untuk informasi selengkapnya, silakan lihat [Harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Topics**
+ [
## Perbarui jejak untuk menggunakan kunci KMS
](#kms-key-policy-update-trail)
+ [
## Memperbarui penyimpanan data acara untuk menggunakan kunci KMS
](#kms-key-policy-update-eds)
## Perbarui jejak untuk menggunakan kunci KMS
Untuk memperbarui jejak untuk menggunakan AWS KMS key yang Anda modifikasi CloudTrail, selesaikan langkah-langkah berikut di CloudTrail konsol.
**catatan**
Jika Anda menggunakan bucket S3 yang sudah ada dengan [Kunci Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), izin CloudTrail harus diizinkan dalam kebijakan kunci untuk menggunakan AWS KMS tindakan `GenerateDataKey` dan. `DescribeKey` Jika izin `cloudtrail.amazonaws.com` tersebut tidak diberikan dalam kebijakan utama, Anda tidak dapat membuat atau memperbarui jejak.
Untuk memperbarui jejak menggunakan AWS CLI, lihat[Mengaktifkan dan menonaktifkan enkripsi untuk file CloudTrail log, mencerna file dan penyimpanan data peristiwa dengan AWS CLI](cloudtrail-log-file-encryption-cli.md).
**Untuk memperbarui jejak untuk menggunakan kunci KMS Anda**
1. Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Pilih **Trails** dan kemudian pilih nama jejak.
1. Dalam **Detail umum**, pilih **Edit**.
1. Untuk enkripsi **file Log SSE-KMS, pilih **Diaktifkan** jika Anda ingin mengenkripsi** file log Anda dan mencerna file menggunakan enkripsi SSE-KMS alih-alih enkripsi SSE-S3. Defaultnya adalah **Diaktifkan**. Jika Anda tidak mengaktifkan enkripsi SSE-KMS, file log dan file digest Anda dienkripsi menggunakan enkripsi SSE-S3. Untuk informasi selengkapnya tentang enkripsi SSE-KMS, lihat [Menggunakan enkripsi sisi server dengan (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). AWS Key Management Service Untuk informasi selengkapnya tentang enkripsi SSE-S3, lihat [Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)).
Pilih **yang Ada** untuk memperbarui jejak Anda dengan Anda AWS KMS key. Pilih kunci KMS yang berada di Wilayah yang sama dengan bucket S3 yang menerima file log Anda. Untuk memverifikasi Region untuk bucket S3, lihat propertinya di konsol S3.
**catatan**
Anda juga dapat mengetikkan ARN kunci dari akun lain. Untuk informasi selengkapnya, lihat [Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol](#create-kms-key-policy-for-cloudtrail-update-trail). Kebijakan kunci harus mengizinkan penggunaan kunci CloudTrail untuk mengenkripsi file log dan mencerna file, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log atau mencerna file dalam bentuk yang tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihat[Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail](create-kms-key-policy-for-cloudtrail.md).
Di **AWS KMS Alias**, tentukan alias yang Anda ubah kebijakan untuk digunakan CloudTrail, dalam format. `alias/` *MyAliasName* Untuk informasi selengkapnya, lihat [Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol](#create-kms-key-policy-for-cloudtrail-update-trail).
Anda dapat mengetikkan nama alias, ARN, atau ID kunci unik global. Jika kunci KMS milik akun lain, verifikasi bahwa kebijakan kunci memiliki izin yang memungkinkan Anda menggunakannya. Nilai dapat berupa salah satu format berikut:
+ **Nama Alias:** `alias/MyAliasName`
+ **Alias ARN**: `arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **Kunci ARN**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID kunci unik secara global**: `12345678-1234-1234-1234-123456789012`
1. Pilih **Perbarui jejak**.
**catatan**
Jika kunci KMS yang Anda pilih dinonaktifkan atau tertunda penghapusan, Anda tidak dapat menyimpan jejak dengan kunci KMS itu. Anda dapat mengaktifkan tombol KMS atau memilih yang lain. Untuk informasi selengkapnya, lihat [Status kunci: Efek pada kunci KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) di *Panduan AWS Key Management Service Pengembang*.
## Memperbarui penyimpanan data acara untuk menggunakan kunci KMS
Untuk memperbarui penyimpanan data acara agar menggunakan AWS KMS key yang Anda modifikasi CloudTrail, selesaikan langkah-langkah berikut di CloudTrail konsol.
Untuk memperbarui penyimpanan data acara dengan menggunakan AWS CLI, lihat[Perbarui penyimpanan data acara dengan AWS CLI](lake-cli-update-eds.md).
**penting**
Menonaktifkan atau menghapus kunci KMS, atau menghapus CloudTrail izin pada kunci, CloudTrail mencegah masuknya peristiwa ke dalam penyimpanan data peristiwa, dan mencegah pengguna melakukan kueri data di penyimpanan data peristiwa yang dienkripsi dengan kunci. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS tidak dapat dihapus atau diubah. Sebelum Anda menonaktifkan atau menghapus kunci KMS yang Anda gunakan dengan penyimpanan data acara, hapus atau cadangkan penyimpanan data acara Anda.
**Untuk memperbarui penyimpanan data acara untuk menggunakan kunci KMS Anda**
1. Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Di panel navigasi, pilih **Penyimpanan data acara** di **Danau**. Pilih penyimpanan data acara untuk diperbarui.
1. Dalam **Detail umum**, pilih **Edit**.
1. Untuk **Enkripsi**, jika belum diaktifkan, pilih **Gunakan milik saya AWS KMS key** untuk mengenkripsi penyimpanan data acara Anda dengan kunci KMS Anda sendiri.
Pilih **yang Ada** untuk memperbarui penyimpanan data acara Anda dengan kunci KMS Anda. Pilih kunci KMS yang berada di Wilayah yang sama dengan penyimpanan data acara. Kunci dari akun lain tidak didukung.
Di **Masukkan AWS KMS Alias**, tentukan alias yang Anda ubah kebijakan untuk digunakan CloudTrail, dalam format. `alias/` *MyAliasName* Untuk informasi selengkapnya, lihat [Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol](#create-kms-key-policy-for-cloudtrail-update-trail).
Anda dapat memilih alias, atau menggunakan ID kunci yang unik secara global. Nilai dapat berupa salah satu format berikut:
+ **Nama Alias:** `alias/MyAliasName`
+ **Alias ARN**: `arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **Kunci ARN**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID kunci unik secara global**: `12345678-1234-1234-1234-123456789012`
1. Pilih **Simpan perubahan**.
**catatan**
Jika kunci KMS yang Anda pilih dinonaktifkan atau tertunda penghapusan, Anda tidak dapat menyimpan konfigurasi penyimpanan data peristiwa dengan kunci KMS tersebut. Anda dapat mengaktifkan tombol KMS, atau memilih kunci yang berbeda. Untuk informasi selengkapnya, lihat [Status kunci: Efek pada kunci KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) di *Panduan AWS Key Management Service Pengembang*.
# Mengaktifkan dan menonaktifkan enkripsi untuk file CloudTrail log, mencerna file dan penyimpanan data peristiwa dengan AWS CLI
Topik ini menjelaskan cara mengaktifkan dan menonaktifkan enkripsi SSE-KMS untuk file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan menggunakan file. AWS CLI Untuk informasi latar belakang, lihat [Mengenkripsi file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan AWS KMS kunci (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md).
**Topics**
+ [
## Mengaktifkan enkripsi untuk file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan menggunakan AWS CLI
](#cloudtrail-log-file-encryption-cli-enable)
+ [
## Menonaktifkan enkripsi untuk file log dan mencerna file dengan menggunakan AWS CLI
](#cloudtrail-log-file-encryption-cli-disable)
## Mengaktifkan enkripsi untuk file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan menggunakan AWS CLI
+ [Aktifkan file log dan intisari enkripsi file untuk jejak](#log-encryption-trail)
+ [Aktifkan enkripsi untuk penyimpanan data acara](#log-encryption-eds)
**Aktifkan enkripsi untuk file log dan mencerna file untuk jejak**
1. Buat kunci dengan AWS CLI. Kunci yang Anda buat harus berada di Region yang sama dengan bucket S3 yang menerima file CloudTrail log Anda. Untuk langkah ini, Anda menggunakan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)perintah.
1. Dapatkan kebijakan kunci yang ada sehingga Anda dapat memodifikasinya untuk digunakan CloudTrail. Anda dapat mengambil kebijakan kunci dengan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)perintah.
1. Tambahkan bagian yang diperlukan ke kebijakan kunci sehingga CloudTrail dapat mengenkripsi dan pengguna dapat mendekripsi file log Anda dan mencerna file. Pastikan bahwa semua pengguna yang membaca file log diberikan izin dekripsi. Jangan mengubah bagian kebijakan yang ada. Untuk informasi tentang bagian kebijakan yang akan disertakan, lihat[Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Lampirkan file kebijakan JSON yang dimodifikasi ke kunci dengan menggunakan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)perintah.
1. Jalankan `update-trail` perintah CloudTrail `create-trail` or dengan `--kms-key-id` parameter. Perintah ini memungkinkan enkripsi file log dan mencerna file.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
`--kms-key-id`Parameter menentukan kunci yang kebijakannya Anda modifikasi. CloudTrail Ini bisa berupa salah satu dari format berikut:
+ **Nama Alias**. Contoh: `alias/MyAliasName`
+ **Alias ARN**. Contoh: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Kunci ARN**. Contoh: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID kunci unik secara global.** Contoh: `12345678-1234-1234-1234-123456789012`
Berikut adalah respons contohnya:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Kehadiran `KmsKeyId` elemen menunjukkan bahwa enkripsi untuk file log Anda telah diaktifkan. Jika validasi file log telah diaktifkan (ditunjukkan oleh `LogFileValidationEnabled` elemen yang disetel ke true), ini juga menunjukkan bahwa enkripsi telah diaktifkan untuk file intisari Anda. File log terenkripsi dan file digest akan muncul di bucket S3 yang dikonfigurasi untuk jejak dalam waktu sekitar 5 menit.
**Aktifkan enkripsi untuk penyimpanan data acara**
1. Buat kunci dengan AWS CLI. Kunci yang Anda buat harus berada di Wilayah yang sama dengan penyimpanan data acara. Untuk langkah ini, jalankan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)perintah.
1. Dapatkan kebijakan kunci yang ada untuk diedit untuk digunakan CloudTrail. Anda bisa mendapatkan kebijakan kunci dengan menjalankan AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)perintah.
1. Tambahkan bagian yang diperlukan ke kebijakan kunci sehingga CloudTrail dapat mengenkripsi dan pengguna dapat mendekripsi penyimpanan data acara Anda. Pastikan bahwa semua pengguna yang membaca penyimpanan data acara diberikan izin dekripsi. Jangan mengubah bagian kebijakan yang ada. Untuk informasi tentang bagian kebijakan yang akan disertakan, lihat[Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Lampirkan file kebijakan JSON yang diedit ke kunci dengan menjalankan perintah. AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Jalankan `update-event-data-store` perintah CloudTrail `create-event-data-store` or, dan tambahkan `--kms-key-id` parameter. Perintah ini memungkinkan enkripsi penyimpanan data acara.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
`--kms-key-id`Parameter menentukan kunci yang kebijakannya Anda modifikasi. CloudTrail Ini bisa berupa salah satu dari empat format berikut:
+ **Nama Alias**. Contoh: `alias/MyAliasName`
+ **Alias ARN**. Contoh: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Kunci ARN**. Contoh: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID kunci unik secara global.** Contoh: `12345678-1234-1234-1234-123456789012`
Berikut adalah respons contohnya:
```
{
"Name": "my-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"RetentionPeriod": "90",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"TerminationProtectionEnabled": true,
"AdvancedEventSelectors": [{
"Name": "Select all external events",
"FieldSelectors": [{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}]
}]
}
```
Kehadiran `KmsKeyId` elemen menunjukkan bahwa enkripsi untuk penyimpanan data peristiwa telah diaktifkan.
## Menonaktifkan enkripsi untuk file log dan mencerna file dengan menggunakan AWS CLI
Untuk berhenti mengenkripsi file log dan mencerna file untuk jejak, jalankan `update-trail` dan berikan string kosong ke parameter: `kms-key-id`
```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```
Berikut adalah respons contohnya:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Tidak adanya `KmsKeyId` nilai menunjukkan bahwa enkripsi untuk file log dan file digest tidak lagi diaktifkan.
**penting**
Anda tidak dapat menghentikan enkripsi untuk penyimpanan data acara.
# Bagaimana AWS CloudTrail menggunakan AWS KMS
Bagian ini menjelaskan cara AWS KMS kerja dengan CloudTrail jejak yang dienkripsi dengan kunci SSE-KMS.
**penting**
AWS CloudTrail [dan Amazon S3 hanya mendukung simetris. AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks) Anda tidak dapat menggunakan [kunci KMS asimetris](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) untuk mengenkripsi Log Anda. CloudTrail *Untuk bantuan menentukan apakah kunci KMS simetris atau asimetris, lihat [Mengidentifikasi tipe kunci yang berbeda dalam Panduan Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/identify-key-types.html)AWS Key Management Service .*
Anda tidak membayar biaya penggunaan kunci saat CloudTrail membaca atau menulis file log yang dienkripsi dengan kunci SSE-KMS. Namun, Anda membayar biaya penggunaan kunci saat mengakses file CloudTrail log yang dienkripsi dengan kunci SSE-KMS. Untuk informasi tentang AWS KMS harga, lihat [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing/). Untuk informasi tentang CloudTrail harga, lihat [AWS CloudTrail harga](https://aws.amazon.com/cloudtrail/pricing/).
## Memahami kapan kunci KMS Anda digunakan untuk jejak Anda
Mengenkripsi file CloudTrail log dengan AWS KMS build pada fitur Amazon S3 yang disebut enkripsi sisi server dengan (SSE-KMS). AWS KMS key *Untuk mempelajari lebih lanjut tentang SSE-KMS, lihat [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.*
Ketika Anda mengonfigurasi AWS CloudTrail untuk menggunakan SSE-KMS untuk mengenkripsi file log Anda, dan Amazon CloudTrail S3 menggunakan Anda AWS KMS keys saat Anda melakukan tindakan tertentu dengan layanan tersebut. Bagian berikut menjelaskan kapan dan bagaimana layanan tersebut dapat menggunakan kunci KMS Anda, dan memberikan informasi tambahan yang dapat Anda gunakan untuk memvalidasi penjelasan ini.
**Contents**
+ [
### Anda mengonfigurasi CloudTrail untuk mengenkripsi file log dengan AWS KMS key
](#cloudtrail-details-update-configuration)
+ [
### CloudTrail menempatkan file log ke bucket S3 Anda
](#cloudtrail-details-put-log-file)
+ [
### Anda mendapatkan berkas log yang dienkripsi dari bucket S3 Anda
](#cloudtrail-details-get-log-file)
### Anda mengonfigurasi CloudTrail untuk mengenkripsi file log dengan AWS KMS key
Ketika Anda [memperbarui CloudTrail konfigurasi Anda untuk menggunakan kunci KMS Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html), CloudTrail mengirimkan [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan AWS KMS untuk memverifikasi bahwa kunci KMS ada dan yang CloudTrail memiliki izin untuk menggunakannya untuk enkripsi. CloudTrail tidak menggunakan kunci data yang dihasilkan.
Permintaan `GenerateDataKey` tersebut mencakup informasi berikut untuk [konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ [Nama Sumber Daya Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dari jalan setapak CloudTrail
+ ARN dari bucket S3 dan jalur tempat file CloudTrail log dikirim
`GenerateDataKey`Permintaan menghasilkan entri di CloudTrail log Anda yang mirip dengan contoh berikut. Ketika Anda melihat entri log seperti ini, Anda dapat menentukan yang CloudTrail disebut AWS KMS `GenerateDataKey` operasi untuk jejak tertentu. AWS KMS membuat kunci data di bawah kunci KMS tertentu.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSService",
"invokedBy": "cloudtrail.amazonaws.com"
},
"eventTime": "2024-12-06T20:14:46Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "cloudtrail.amazonaws.com",
"userAgent": "cloudtrail.amazonaws.com",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:123456789012:key/example1-6736-4661-bf00-exampleeb770",
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket-123456789012-9af1fb49/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T2010Z_TO50OLMG1hIQ1png.json.gz"
}
},
"responseElements": null,
"requestID": "a0555e85-7e8a-4765-bd8f-2222295558e1",
"eventID": "e4f3557e-7dbd-4e37-a00a-d86c137d1111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example1-6736-4661-bf00-exampleeb770"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"sharedEventID": "ce71d6be-0846-498e-851f-111a1af9078f",
"eventCategory": "Management"
}
```
### CloudTrail menempatkan file log ke bucket S3 Anda
Setiap kali CloudTrail memasukkan file log ke bucket S3 Anda, Amazon S3 mengirimkan [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan AWS KMS ke atas nama. CloudTrail Menanggapi permintaan ini, AWS KMS buat kunci data unik dan kemudian mengirimkan Amazon S3 dua salinan kunci data, satu dalam teks biasa dan satu yang dienkripsi dengan kunci KMS yang ditentukan. Amazon S3 menggunakan kunci data plaintext untuk mengenkripsi file CloudTrail log dan kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan. Amazon S3 menyimpan kunci data terenkripsi sebagai metadata dengan file log terenkripsi. CloudTrail
Permintaan `GenerateDataKey` tersebut mencakup informasi berikut untuk [konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ [Nama Sumber Daya Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dari jalan setapak CloudTrail
+ ARN dari objek S3 (file log) CloudTrail
Setiap `GenerateDataKey` permintaan menghasilkan entri di CloudTrail log Anda yang mirip dengan contoh berikut. Ketika Anda melihat entri log seperti ini, Anda dapat menentukan yang CloudTrail disebut AWS KMS `GenerateDataKey` operasi untuk jejak tertentu untuk melindungi file log tertentu. AWS KMS membuat kunci data di bawah kunci KMS yang ditentukan, ditampilkan dua kali dalam entri log yang sama.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSService",
"invokedBy": "cloudtrail.amazonaws.com"
},
"eventTime": "2024-12-06T21:49:28Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "cloudtrail.amazonaws.com",
"userAgent": "cloudtrail.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1::trail/insights-trail",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket1-123456789012-7867ab0c/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T2150Z_hVXmrJzjZk2wAM2V.json.gz"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
},
"responseElements": null,
"requestID": "11117d14-9232-414a-b3d1-01bab4dc9f99",
"eventID": "999e9a50-512c-4e2a-84a3-111a5f511111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"sharedEventID": "5e663acc-b7fd-4cdd-8328-0eff862952fa",
"eventCategory": "Management"
}
```
### Anda mendapatkan berkas log yang dienkripsi dari bucket S3 Anda
Setiap kali Anda mendapatkan file CloudTrail log terenkripsi dari bucket S3 Anda, Amazon S3 mengirimkan [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)permintaan ke AWS KMS atas nama Anda untuk mendekripsi kunci data terenkripsi file log. Menanggapi permintaan ini, AWS KMS gunakan kunci KMS Anda untuk mendekripsi kunci data dan kemudian mengirimkan kunci data teks biasa ke Amazon S3. Amazon S3 menggunakan kunci data plaintext untuk mendekripsi file CloudTrail log dan kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan.
Permintaan `Decrypt` tersebut mencakup informasi berikut untuk [konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ [Nama Sumber Daya Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dari jalan setapak CloudTrail
+ ARN dari objek S3 (file log) CloudTrail
Setiap `Decrypt` permintaan menghasilkan entri di CloudTrail log Anda yang mirip dengan contoh berikut. Ketika Anda melihat entri log seperti ini, Anda dapat menentukan bahwa peran yang diasumsikan disebut AWS KMS `Decrypt` operasi untuk jejak tertentu dan file log tertentu. AWS KMS mendekripsi kunci data di bawah kunci KMS tertentu.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-12-06T22:04:04Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2024-12-06T22:26:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket1-123456789012-7867ab0c/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T0000Z_aAAsHbGBdye3jp2R.json.gz"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "1ab2d2d2-111a-2222-a59b-11a2b3832b53",
"eventID": "af4d4074-2849-4b3d-1a11-a1aaa111a111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```