As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografar arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com AWS KMS chaves (SSE-KMS)
Por padrão, os arquivos de log e os arquivos de resumo entregues CloudTrail ao seu bucket são criptografados usando [criptografia do lado do servidor com uma chave KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). Se você não habilitar a criptografia SSE-KMS, os arquivos de log e os arquivos de resumo serão criptografados com a [criptografia SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
**nota**
Se você estiver usando um bucket S3 existente com uma [chave de bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), CloudTrail deve ter permissão na política de chaves para usar as AWS KMS ações e. `GenerateDataKey` `DescribeKey` Se o `cloudtrail.amazonaws.com` não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.
Para usar o SSE-KMS com CloudTrail, você cria e gerencia um. [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) Você anexa uma política à chave que determina quais usuários podem usar a chave para criptografar e descriptografar arquivos de CloudTrail log e arquivos de resumo. A descriptografia é facilitada pelo S3. Quando usuários autorizados da chave leem arquivos de CloudTrail log ou arquivos de resumo, o S3 gerencia a descriptografia e os usuários autorizados podem ler os arquivos em formato não criptografado.
Essa abordagem tem as seguintes vantagens:
+ Você mesmo pode criar e gerenciar a chave.
+ Você pode usar uma única chave do KMS para criptografar e descriptografar os arquivos de log e os arquivos de resumo de várias contas em todas as regiões.
+ Você tem controle sobre quem pode usar sua chave para criptografar e descriptografar arquivos de CloudTrail log e arquivos de resumo. Você pode atribuir permissões para a chave aos usuários na sua organização de acordo com os seus requisitos.
+ Você tem segurança aprimorada. Com esse atributo, para ler arquivos de log ou arquivos de resumo, as seguintes permissões são necessárias:
+ Um usuário deve ter permissões de leitura do S3 para o bucket que contém os arquivos de log e os arquivos de resumo.
+ Um usuário também deve ter uma política ou função aplicada com permissões de descriptografia pela política da chave do KMS.
+ Como o S3 descriptografa automaticamente os arquivos de log e os arquivos de resumo para solicitações de usuários autorizados a usar a chave KMS, a criptografia SSE-KMS dos arquivos é compatível com versões anteriores de aplicativos que leem dados de log. CloudTrail
**nota**
A chave KMS que você escolher deve ser criada na mesma AWS região do bucket do Amazon S3 que recebe seus arquivos de log e arquivos de resumo. Por exemplo, se os arquivos de log e os arquivos de resumo forem ser armazenados em um bucket na região Leste dos EUA (Ohio), você deverá criar ou escolher uma chave do KMS criada nessa região. Para verificar a região de um bucket do Amazon S3, inspecione as respectivas propriedades no console do Amazon S3.
Por padrão, os armazenamentos de dados de eventos são criptografados por CloudTrail. Você tem a opção de usar sua própria chave do KMS para criptografia ao criar ou atualizar um datastore de eventos.
## Ativar a criptografia dos arquivos de log
**nota**
Se você criar uma chave KMS no CloudTrail console, CloudTrail adicionará as seções de política de chaves KMS necessárias para você. Siga esses procedimentos se você criou uma chave no console do IAM ou AWS CLI precisa adicionar manualmente as seções de política necessárias.
Para habilitar a criptografia SSE-KMS para arquivos de CloudTrail log, execute as seguintes etapas de alto nível:
1. Crie uma chave do KMS.
+ Para obter informações sobre como criar uma chave KMS com o Console de gerenciamento da AWS, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.
+ Para obter informações sobre como criar uma chave KMS com o AWS CLI, consulte [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
**nota**
A chave do KMS escolhida deve estar na mesma região que o bucket do S3 que recebe os arquivos de log e os arquivos de resumo. Para verificar a região de um bucket do S3, inspecione as propriedades do bucket no console do S3.
1. Adicione seções de política à chave que permitem CloudTrail criptografar e que os usuários descriptografem arquivos de log e arquivos de resumo.
+ Para obter informações sobre o que incluir na política, consulte [Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md).
**Atenção**
Inclua permissões de descriptografia na política de todos os usuários que precisam ler arquivos de log e arquivos de resumo. Se não executar essa etapa antes de adicionar a chave à configuração da trilha, os usuários que não tiverem permissão de descriptografia não conseguirão ler arquivos criptografados até que essas permissões sejam concedidas para eles.
+ Para obter informações sobre como editar uma política com o console do IAM, consulte [Como editar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) no *Guia do desenvolvedor do AWS Key Management Service *.
+ Para obter informações sobre como anexar uma política a uma chave KMS com AWS CLI o. [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
1. Atualize seu armazenamento de dados de trilhas ou eventos para usar a chave KMS cuja política você modificou. CloudTrail
+ Para atualizar um armazenamento de dados de trilhas ou eventos usando o CloudTrail console, consulte[Atualizar um recurso para usar sua chave do KMS com o console](create-kms-key-policy-for-cloudtrail-update-trail.md).
+ Para atualizar um armazenamento de dados de trilhas ou eventos usando o AWS CLI, consulte[Ativando e desativando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com o AWS CLI](cloudtrail-log-file-encryption-cli.md).
CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte [Usar chaves de várias regiões](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) no *Manual do desenvolvedor do AWS Key Management Service *.
A próxima seção descreve as seções de política que sua política de chaves do KMS exige para uso com CloudTrail.
# Conceder permissões para criar uma chave do KMS
Você pode conceder permissão aos usuários para criar uma AWS KMS key com a [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)política.
**Para conceder permissão para criar uma chave do KMS**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Escolha o grupo ou usuário ao qual você deseja conceder permissão.
1. Escolha a aba **Permissões**.
1. Na lista suspensa **Adicionar permissões**, escolha **Anexar políticas**.
1. Procure **AWSKeyManagementServicePowerUser**, escolha a política e depois **Anexar política**.
Agora, o usuário tem permissão para criar uma chave do KMS. Para obter mais informações sobre como criar políticas, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Manual do usuário do IAM*.
# Configure as AWS KMS principais políticas para CloudTrail
Você pode criar um AWS KMS key de três maneiras:
+ O CloudTrail console
+ O console AWS de gerenciamento
+ O AWS CLI
**nota**
Se você criar uma chave KMS no CloudTrail console, CloudTrail adicionará a política de chaves KMS necessária para você. Você não precisa adicionar manualmente as declarações de política. Consulte [Política de chave KMS padrão criada no console CloudTrail](default-kms-key-policy.md).
Se você criar uma chave KMS no Console de gerenciamento da AWS ou no AWS CLI, deverá adicionar seções de política à chave para poder usá-la com CloudTrail. A política deve permitir o uso da chave CloudTrail para criptografar seus arquivos de log, arquivos de resumo e armazenamentos de dados de eventos, além de permitir que os usuários que você especificar leiam arquivos de log e arquivos de resumo em formato não criptografado.
Consulte os recursos a seguir:
+ Para criar uma chave KMS com o AWS CLI, consulte [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
+ Para editar uma política de chaves do KMS para CloudTrail, consulte [Editando uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) no *Guia do AWS Key Management Service desenvolvedor*.
+ Para obter detalhes técnicos sobre como CloudTrail usar AWS KMS, consulte[Como AWS CloudTrail usa AWS KMS](how-kms-works-with-cloudtrail.md).
**Topics**
+ [
## Seções de política de chaves do KMS obrigatórias para uso com CloudTrail
](#create-kms-key-policy-for-cloudtrail-policy-sections)
+ [
## Conceder permissões de criptografia para trilhas
](#create-kms-key-policy-for-cloudtrail-encrypt)
+ [
## Conceder permissões de criptografia para datastores de eventos
](#create-kms-key-policy-for-cloudtrail-encrypt-eds)
+ [
## Conceder permissões de descriptografia para trilhas
](#create-kms-key-policy-for-cloudtrail-decrypt)
+ [
## Conceder permissões de descriptografia para datastores de eventos
](#create-kms-key-policy-for-cloudtrail-decrypt-eds)
+ [
## Habilitar CloudTrail a descrição das propriedades da chave KMS
](#create-kms-key-policy-for-cloudtrail-describe)
+ [
# Política de chave KMS padrão criada no console CloudTrail
](default-kms-key-policy.md)
## Seções de política de chaves do KMS obrigatórias para uso com CloudTrail
Se você criou uma chave KMS com o console AWS de gerenciamento ou com o AWS CLI, você deve, no mínimo, adicionar as seguintes instruções à sua política de chaves KMS para que ela funcione. CloudTrail
**Topics**
+ [
### Elementos obrigatórios de política de chaves do KMS para trilhas
](#required-kms-key-policy-trails)
+ [
### Elementos obrigatórios de política de chaves do KMS para armazenamentos de dados de eventos
](#required-kms-key-policy-eventdatastores)
### Elementos obrigatórios de política de chaves do KMS para trilhas
1. Conceda permissões para criptografar arquivos de CloudTrail registro e resumo. Para obter mais informações, consulte [Conceder permissões de criptografia para trilhas](#create-kms-key-policy-for-cloudtrail-encrypt).
1. Conceda permissões para descriptografar arquivos de CloudTrail log e digest. Para obter mais informações, consulte [Conceder permissões de descriptografia para trilhas](#create-kms-key-policy-for-cloudtrail-decrypt). Se você estiver usando um bucket do S3 existente com uma [chave de bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), permissões de `kms:Decrypt` serão necessárias para criar ou atualizar uma trilha com criptografia SSE-KMS habilitada.
1. Habilite CloudTrail a descrição das propriedades da chave KMS. Para obter mais informações, consulte [Habilitar CloudTrail a descrição das propriedades da chave KMS](#create-kms-key-policy-for-cloudtrail-describe).
Como uma prática recomendada de segurança, adicione uma `aws:SourceArn` chave de condição para a política de chaves KMS. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que a chave KMS seja CloudTrail usada somente para uma trilha ou trilhas específicas. O valor de `aws:SourceArn` é sempre o ARN da trilha (ou matriz da trilha ARNs) que está usando a chave KMS. Certifique-se de adicionar a `aws:SourceArn` chave de condição para políticas de chave KMS para trilhas existentes.
A `aws:SourceAccount` chave de condição também é compatível, mas não é recomendada. O valor de `aws:SourceAccount` é a ID da conta do proprietário da trilha, ou para trilhas da organização, a ID da conta de gerenciamento.
**Importante**
Quando você adicionar as novas seções à política de chave do KMS, não altere as seções existentes na política.
Se a criptografia estiver ativada em uma trilha e a chave KMS estiver desativada ou se a política de chaves KMS não estiver configurada corretamente CloudTrail, não será CloudTrail possível fornecer registros.
### Elementos obrigatórios de política de chaves do KMS para armazenamentos de dados de eventos
1. Conceda permissões para criptografar um armazenamento de dados de eventos do CloudTrail Lake. Para obter mais informações, consulte [Conceder permissões de criptografia para datastores de eventos](#create-kms-key-policy-for-cloudtrail-encrypt-eds).
1. Conceda permissões para descriptografar um armazenamento de dados de eventos CloudTrail do Lake. Para obter mais informações, consulte [Conceder permissões de descriptografia para datastores de eventos](#create-kms-key-policy-for-cloudtrail-decrypt-eds).
Ao criar um armazenamento de dados de eventos e criptografá-lo com uma chave do KMS ou executar consultas em um armazenamento de dados de eventos que você está criptografando com uma chave do KMS, é necessário ter acesso de gravação à chave do KMS. A política de chaves KMS deve ter acesso a CloudTrail, e a chave KMS deve ser gerenciável por usuários que executam operações (como consultas) no armazenamento de dados do evento.
1. Habilite CloudTrail a descrição das propriedades da chave KMS. Para obter mais informações, consulte [Habilitar CloudTrail a descrição das propriedades da chave KMS](#create-kms-key-policy-for-cloudtrail-describe).
As chaves de condição `aws:SourceArn` e `aws:SourceAccount` não são compatíveis com políticas de chaves do KMS para armazenamentos de dados de eventos.
**Importante**
Quando você adicionar as novas seções à política de chave do KMS, não altere as seções existentes na política.
Se a criptografia estiver ativada em um armazenamento de dados de eventos e a chave KMS estiver desativada ou excluída, ou se a política de chaves KMS não estiver configurada corretamente CloudTrail, não será CloudTrail possível entregar eventos ao seu armazenamento de dados de eventos.
## Conceder permissões de criptografia para trilhas
**Example Permite CloudTrail criptografar arquivos de log e arquivos de resumo em nome de contas específicas**
CloudTrail precisa de permissão explícita para usar a chave KMS para criptografar arquivos de log e arquivos de resumo em nome de contas específicas. Para especificar uma conta, adicione a seguinte declaração obrigatória à sua política de chaves do KMS e substitua *account-id**region*,, e *trailName* pelos valores apropriados para sua configuração. Você pode adicionar uma conta adicional IDs à `EncryptionContext` seção para permitir que essas contas sejam usadas CloudTrail para usar sua chave KMS para criptografar arquivos de log e arquivos de resumo.
Como uma prática recomendada de segurança, adicione uma chave de condição `aws:SourceArn` à política de chaves do KMS para uma trilha. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que a chave KMS seja CloudTrail usada somente para uma trilha ou trilhas específicas.
```
{
"Sid": "AllowCloudTrailEncryptLogs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
}
}
}
```
**Example**
O exemplo de declaração de política a seguir ilustra como outra conta pode usar sua chave KMS para criptografar arquivos de CloudTrail log e arquivos de resumo.
**Cenário**
+ Sua chave do KMS está na conta *111111111111*.
+ Você e a conta *222222222222* criptografarão os registros.
Na política, você adiciona uma ou mais contas criptografadas com sua chave ao CloudTrail **EncryptionContext**. Isso se restringe CloudTrail ao uso de sua chave para criptografar arquivos de log e arquivos de resumo somente para as contas que você especificar. Quando você dá *222222222222* permissão à raiz da conta para criptografar arquivos de log e arquivos de resumo, ela delega permissão ao administrador da conta para criptografar as permissões necessárias para outros usuários dessa conta. O administrador da conta faz isso alterando as políticas associadas a esses usuários do IAM.
Como uma prática recomendada de segurança, adicione uma `aws:SourceArn` chave de condição para a política de chaves KMS. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que a chave KMS seja CloudTrail usada somente para as trilhas especificadas. Não há suporte para essa condição nas políticas de chaves do KMS para armazenamentos de dados de eventos.
Declaração de política de chaves do KMS:
```
{
"Sid": "EnableCloudTrailEncryptPermissions",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": [
"arn:aws:cloudtrail:*:111111111111:trail/*",
"arn:aws:cloudtrail:*:222222222222:trail/*"
]
},
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Para obter mais informações sobre a edição de uma política de chaves do KMS para uso com CloudTrail, consulte [Editando uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) no Guia do AWS Key Management Service desenvolvedor.
## Conceder permissões de criptografia para datastores de eventos
Uma política para uma chave KMS usada para criptografar um armazenamento de dados de eventos do CloudTrail Lake não pode usar as chaves `aws:SourceArn` de condição ou. `aws:SourceAccount` Veja a seguir um exemplo de uma política de chaves do KMS para um armazenamento de dados de eventos.
```
{
"Sid": "AllowCloudTrailEncryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
## Conceder permissões de descriptografia para trilhas
Antes de adicionar sua chave KMS à sua CloudTrail configuração, é importante conceder permissões de descriptografia a todos os usuários que precisarem delas. Os usuários que têm permissões de criptografia, mas não têm permissões de descriptografia, não conseguirão ler logs criptografados. Se você estiver usando um bucket do S3 existente com uma [chave de bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), permissões de `kms:Decrypt` serão necessárias para criar ou atualizar uma trilha com criptografia SSE-KMS habilitada.
**Ativar CloudTrail permissões de descriptografia de registros**
Os usuários da sua chave devem receber permissões explícitas para ler os arquivos de log que o CloudTrail criptografou. Para permitir que os usuários leiam logs criptografados, adicione a seguinte declaração necessária à sua política de chave do KMS, modificando a seção `Principal` de modo a adicionar uma linha para cada entidade principal que deseja descriptografar usando sua chave do KMS.
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Veja a seguir um exemplo de política necessária para permitir que o responsável pelo CloudTrail serviço decifre os registros de trilhas.
```
{
"Sid": "AllowCloudTrailDecryptTrail",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
### Permitir que usuários em sua conta descriptografem logs de trilha com sua chave do KMS
**Exemplo**
Esta instrução da política ilustra como permitir que um usuário ou perfil na sua conta use sua chave para ler os logs criptografados no bucket do S3 da conta.
**Example Cenário**
+ Sua chave do KMS, o bucket do S3 e o usuário do IAM Bob estão na conta `111111111111`.
+ Você dá permissão ao usuário do IAM Bob para descriptografar CloudTrail registros no bucket do S3.
Na política de chaves, você ativa as permissões de descriptografia de CloudTrail log para o usuário do IAM Bob.
Declaração de política de chaves do KMS:
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/Bob"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**Topics**
### Permitir que usuários em outras contas descriptografem logs de trilha com sua chave do KMS
Você pode permitir que os usuários de outras contas usem sua chave do KMS para descriptografar logs de trilhas. As alterações necessárias à sua política de chaves dependem de onde o bucket do S3 está, na sua conta ou em outra.
#### Permitir que os usuários de um bucket de outra conta descriptografem os logs
**Exemplo**
Esta declaração da política ilustra como permitir que um usuário ou função do IAM em outra conta use sua chave para ler os logs criptografados a partir de um bucket do S3 na outra conta.
**Cenário**
+ Sua chave do KMS está na conta `111111111111`.
+ O usuário do IAM Alice e o bucket do S3 estão na conta `222222222222`.
Nesse caso, você dá CloudTrail permissão para descriptografar registros na conta `222222222222` e dá permissão à política de usuário do IAM de Alice para usar sua chave`KeyA`, que está na conta. `111111111111`
Declaração de política de chaves do KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:root"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:111111111111:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Declaração da política de usuários do IAM de Alice:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111111111111:key/KeyA"
}
]
}
```
------
#### Permitir que usuários em outra conta descriptografem os logs de trilha do seu bucket
**Example**
Esta política ilustra como outra conta pode usar sua chave para ler os logs criptografados do bucket do S3.
**Example Cenário**
+ Sua chave do KMS e o bucket do S3 estão na conta `111111111111`.
+ O usuário que lê os logs do seu bucket está na conta `222222222222`.
Para ativar esse cenário, você ativa as permissões de descriptografia para a função do IAM **CloudTrailReadRole**em sua conta e, em seguida, concede à outra conta permissão para assumir essa função.
Declaração de política de chaves do KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:role/CloudTrailReadRole"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**CloudTrailReadRole**declaração de política de entidade fiduciária:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CloudTrail access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::222222222222:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter informações sobre a edição de uma política de chaves do KMS para uso com CloudTrail, consulte [Editando uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) no *Guia do AWS Key Management Service desenvolvedor*.
## Conceder permissões de descriptografia para datastores de eventos
Uma política de descriptografia para uma chave KMS usada com um armazenamento de dados de eventos do CloudTrail Lake é semelhante à seguinte. O usuário ou a função ARNs especificada como valores para `Principal` precisam de permissões de decodificação para criar ou atualizar armazenamentos de dados de eventos, executar consultas ou obter resultados de consultas.
```
{
"Sid": "EnableUserKeyPermissionsEds"
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
Veja a seguir um exemplo de política necessária para permitir que o responsável pelo CloudTrail serviço decifre um armazenamento de dados de eventos.
```
{
"Sid": "AllowCloudTrailDecryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
## Habilitar CloudTrail a descrição das propriedades da chave KMS
CloudTrail requer a capacidade de descrever as propriedades da chave KMS. Para habilitar essa funcionalidade, adicione a seguinte declaração obrigatória da forma em que se encontra à sua política de chave do KMS. Essa declaração não concede CloudTrail nenhuma permissão além das outras permissões que você especificar.
Como uma prática recomendada de segurança, adicione uma `aws:SourceArn` chave de condição para a política de chaves KMS. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que a chave KMS seja CloudTrail usada somente para uma trilha ou trilhas específicas.
```
{
"Sid": "AllowCloudTrailAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Para obter informações sobre como editar políticas de chaves do KMS, consulte [Como editar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) no *Guia do desenvolvedor do AWS Key Management Service *.
# Política de chave KMS padrão criada no console CloudTrail
Se você criar uma AWS KMS key no CloudTrail console, as políticas a seguir serão criadas automaticamente para você. A política permite estas permissões:
+ Permite permissões Conta da AWS (raiz) para a chave KMS.
+ Permite CloudTrail criptografar arquivos de log e arquivos de resumo sob a chave KMS e descrever a chave KMS.
+ Permite que todos os usuários nas contas especificadas descriptografem arquivos de log e arquivos de resumo.
+ Permite que todos os usuários da conta especificada criem um alias do KMS para a chave do KMS.
+ Habilita a descriptografia de log entre contas para o ID da conta que criou a trilha.
**Topics**
+ [
## Política padrão de chaves do KMS para trilhas
](#default-kms-key-policy-trail)
+ [
## Política de chaves KMS padrão para armazenamentos de dados de eventos em CloudTrail Lake
](#default-kms-key-policy-eds)
## Política padrão de chaves do KMS para trilhas
A seguir está a política padrão criada para uma AWS KMS key que você usa com uma trilha.
**nota**
A política inclui uma instrução para permitir que contas cruzadas descriptografem arquivos de log e arquivos de resumo com a chave do KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:root",
"arn:aws:iam::111111111111:user/username"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
}
]
}
```
------
## Política de chaves KMS padrão para armazenamentos de dados de eventos em CloudTrail Lake
A seguir está a política padrão criada para uma AWS KMS key que você usa com um armazenamento de dados de eventos no CloudTrail Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111:assumed-role/example-role-name"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------
# Atualizar um recurso para usar sua chave do KMS com o console
No CloudTrail console, atualize uma trilha ou um armazenamento de dados de eventos para usar uma chave KMS. Esteja ciente de que usar sua própria chave KMS gera AWS KMS custos de criptografia e decodificação. Para obter mais informações, consulte [Preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Topics**
+ [
## Atualizar uma trilha para usar uma chave do KMS
](#kms-key-policy-update-trail)
+ [
## Atualizar um armazenamento de dados de eventos para usar uma chave do KMS
](#kms-key-policy-update-eds)
## Atualizar uma trilha para usar uma chave do KMS
Para atualizar uma trilha para usar a AWS KMS key que você modificou CloudTrail, conclua as etapas a seguir no CloudTrail console.
**nota**
Se você estiver usando um bucket do S3 existente com uma [chave do bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), CloudTrail deverá ter permissão na política de chaves para usar as AWS KMS ações e. `GenerateDataKey` `DescribeKey` Se o `cloudtrail.amazonaws.com` não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.
Para atualizar uma trilha usando o AWS CLI, consulte[Ativando e desativando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com o AWS CLI](cloudtrail-log-file-encryption-cli.md).
**Para atualizar uma trilha para usar sua chave do KMS**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Escolha **Trails** (Trilhas) e depois escolha um nome para a trilha.
1. Em **General details** (Detalhes gerais), escolha **Edit** (Editar).
1. Em **Criptografia de arquivo de log com SSE-KMS**, escolha **Habilitado** se quiser criptografar os arquivos de log e os arquivos de resumo com criptografia SSE-KMS em vez de criptografia SSE-S3. O padrão é **Enabled** (Habilitado). Se você não habilitar a criptografia SSE-KMS, os arquivos de log e os arquivos de resumo serão criptografados com a criptografia SSE-S3. Para obter mais informações sobre a criptografia SSE-KMS, consulte [Usando a criptografia do lado do servidor com (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). AWS Key Management Service Para obter mais informações sobre a criptografia SSE-S3, consulte [Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) (Uso de criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 [SSE-S3]).
Selecione **Existing** (Existente) para atualizar a trilha com a AWS KMS key. Escolha uma chave do KMS que esteja na mesma região que o bucket do S3 que recebe seus arquivos de log. Para verificar a região de um bucket do S3, examine as respectivas propriedades no console do S3.
**nota**
Você também pode digitar o Nome de região da Amazon (ARN) de uma chave de outra conta. Para obter mais informações, consulte [Atualizar um recurso para usar sua chave do KMS com o console](#create-kms-key-policy-for-cloudtrail-update-trail). A política de chaves deve permitir CloudTrail o uso da chave para criptografar seus arquivos de log e arquivos de resumo e permitir que os usuários que você especificar leiam arquivos de log ou arquivos de resumo em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte [Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md).
Em **AWS KMS Alias**, especifique o alias para o qual você alterou a política para uso CloudTrail, no formato. `alias/` *MyAliasName* Para obter mais informações, consulte [Atualizar um recurso para usar sua chave do KMS com o console](#create-kms-key-policy-for-cloudtrail-update-trail).
Você pode digitar o nome do alias, o Nome de região da Amazon (ARN) ou o ID de chave globalmente exclusivo. Se a chave do KMS pertence a outra conta, verifique se a política de chaves tem permissões que possibilitam o seu uso. O valor pode ser um dos seguintes formatos:
+ **Nome do alias**: `alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias**: `arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias da chave**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID de chave globalmente exclusivo**: `12345678-1234-1234-1234-123456789012`
1. Escolha **Update Trail** (Atualizar trilha).
**nota**
Se a chave do KMS que você escolheu estiver desabilitada ou se a exclusão estiver pendente, você não poderá salvar a trilha com essa chave do KMS. É possível habilitar a chave do KMS ou escolher outra. Para obter mais informações, consulte [Estado da chave: efeito na chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) no *Guia do desenvolvedor do AWS Key Management Service *.
## Atualizar um armazenamento de dados de eventos para usar uma chave do KMS
Para atualizar um armazenamento de dados de eventos para usar o AWS KMS key que você modificou CloudTrail, conclua as etapas a seguir no CloudTrail console.
Para atualizar um armazenamento de dados de eventos usando o AWS CLI, consulte[Atualize um armazenamento de dados de eventos com o AWS CLI](lake-cli-update-eds.md).
**Importante**
Desabilitar ou excluir a chave KMS, ou remover CloudTrail permissões na chave, CloudTrail impede a ingestão de eventos no armazenamento de dados de eventos e impede que os usuários consultem dados no armazenamento de dados de eventos que foram criptografados com a chave. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS. Antes de desativar ou excluir uma chave do KMS que você esteja usando com um armazenamento de dados de eventos, exclua ou faça backup do seu armazenamento de dados de eventos.
**Para atualizar um armazenamento de dados de eventos para usar sua chave do KMS**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação, escolha **Event data stores** (Armazenamentos de dados de eventos) em **Lake**. Escolha um armazenamento de dados de eventos para atualizar.
1. Em **General details** (Detalhes gerais), escolha **Edit** (Editar).
1. Em **Criptografia**, se ainda não estiver habilitada, escolha **Usar minha própria AWS KMS key** para criptografar seus datastores de evento com sua própria chave do KMS.
Escolha **Existing** (Existente) para atualizar seu armazenamento de dados de eventos com sua chave do KMS. Escolha uma chave do KMS que esteja na mesma região do armazenamento de dados de eventos. Não há compatibilidade com uma chave de outra conta.
Em **Inserir AWS KMS Alias**, especifique o alias para o qual você alterou a política para uso CloudTrail, no formato. `alias/` *MyAliasName* Para obter mais informações, consulte [Atualizar um recurso para usar sua chave do KMS com o console](#create-kms-key-policy-for-cloudtrail-update-trail).
Você pode escolher um alias ou usar o ID de chave global exclusivo. O valor pode ser um dos seguintes formatos:
+ **Nome do alias**: `alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias**: `arn:aws:kms:region:123456789012:alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias da chave**: `arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID de chave globalmente exclusivo**: `12345678-1234-1234-1234-123456789012`
1. Escolha **Salvar alterações**.
**nota**
Se a chave do KMS que você escolheu estiver desabilitada ou com exclusão pendente, não será possível salvar a configuração de armazenamento de dados de eventos com essa chave do KMS. É possível habilitar a chave do KMS ou escolher outra chave. Para obter mais informações, consulte [Estado da chave: efeito na chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) no *Guia do desenvolvedor do AWS Key Management Service *.
# Ativando e desativando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com o AWS CLI
Este tópico descreve como ativar e desativar a criptografia SSE-KMS para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos usando o. AWS CLI Para obter informações básicas, consulte [Criptografar arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com AWS KMS chaves (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md).
**Topics**
+ [
## Habilitando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos usando o AWS CLI
](#cloudtrail-log-file-encryption-cli-enable)
+ [
## Desabilitando a criptografia para arquivos de log e arquivos de resumo usando o AWS CLI
](#cloudtrail-log-file-encryption-cli-disable)
## Habilitando a criptografia para arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos usando o AWS CLI
+ [Habilitar a criptografia para arquivos de log e arquivos de resumo para uma trilha](#log-encryption-trail)
+ [Habilitar a criptografia para um datastore de eventos](#log-encryption-eds)
**Habilitar a criptografia para arquivos de log e arquivos de resumo para uma trilha**
1. Crie uma chave com a AWS CLI. A chave que você cria deve estar na mesma região do bucket do S3 que recebe seus arquivos de CloudTrail log. Para esta etapa, você usa o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.
1. Obtenha a política de chaves existente para que você possa modificá-la para uso com CloudTrail. Você pode recuperar a política de chaves com o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando.
1. Adicione as seções necessárias à política de chaves para que ela CloudTrail possa criptografar e os usuários possam descriptografar seus arquivos de log e arquivos de resumo. Garanta que todos os usuários que lerão os arquivos de log tenham recebido permissões de descriptografia. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte [Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Anexe o arquivo de política JSON modificado à chave usando o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando.
1. Execute o `update-trail` comando CloudTrail `create-trail` or com o `--kms-key-id` parâmetro. Esse comando habilita a criptografia de arquivos de log e arquivos de resumo.
```
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
```
O parâmetro `--kms-key-id` especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes formatos:
+ **Nome do alias**. Exemplo: `alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias**. Exemplo: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Nome de região da Amazon (ARN) da chave**. Exemplo: `arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID de chave globalmente exclusivo.** Exemplo: `12345678-1234-1234-1234-123456789012`
Esta é uma resposta de exemplo:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
"S3BucketName": "amzn-s3-demo-bucket"
}
```
A presença do elemento `KmsKeyId` indica que a criptografia para os arquivos de log foi habilitada. Se a validação de arquivos de log tiver sido habilitada (indicado pelo elemento `LogFileValidationEnabled` definido como verdadeiro), isso também indica que a criptografia foi habilitada para os arquivos de resumo. Os arquivos de log e os arquivos de resumo criptografados devem aparecer no bucket do S3 configurado para a trilha em aproximadamente 5 minutos.
**Habilitar a criptografia para um datastore de eventos**
1. Crie uma chave com a AWS CLI. A chave que você cria precisa estar na mesma região do armazenamento de dados de eventos. Para essa etapa, execute o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)comando.
1. Obtenha a política de chaves existente para edição e uso com CloudTrail. Você pode obter a política de chaves executando o AWS KMS [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando.
1. Adicione as seções necessárias à política de chaves para que ela CloudTrail possa criptografar e os usuários possam descriptografar seu armazenamento de dados de eventos. Certifique-se de que todos os usuários que acessam o datastore de eventos tenham permissão para descriptografar. Não modifique as seções existentes da política. Para obter mais informações sobre as seções da política que devem ser incluídas, consulte [Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Anexe o arquivo de política JSON editado à chave executando o AWS KMS [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando.
1. Execute o `update-event-data-store` comando CloudTrail `create-event-data-store` or e adicione o `--kms-key-id` parâmetro. Esse comando habilita a criptografia do datastore de eventos.
```
aws cloudtrail update-event-data-store --name my-event-data-store --kms-key-id alias/MyKmsKey
```
O parâmetro `--kms-key-id` especifica a chave cuja política você modificou para o CloudTrail. Ele pode estar em qualquer um dos seguintes quatro formatos:
+ **Nome do alias**. Exemplo: `alias/MyAliasName`
+ **Nome de região da Amazon (ARN) do alias**. Exemplo: `arn:aws:kms:us-east-2:123456789012:alias/MyAliasName`
+ **Nome de região da Amazon (ARN) da chave**. Exemplo: `arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012`
+ **ID de chave globalmente exclusivo.** Exemplo: `12345678-1234-1234-1234-123456789012`
Esta é uma resposta de exemplo:
```
{
"Name": "my-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"RetentionPeriod": "90",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"TerminationProtectionEnabled": true,
"AdvancedEventSelectors": [{
"Name": "Select all external events",
"FieldSelectors": [{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}]
}]
}
```
A presença do elemento `KmsKeyId` indica que a criptografia para datastores de eventos foi habilitada.
## Desabilitando a criptografia para arquivos de log e arquivos de resumo usando o AWS CLI
Para interromper a criptografia de arquivos de log e arquivos de resumo de uma trilha, execute `update-trail` e passe uma string vazia para o parâmetro `kms-key-id`:
```
aws cloudtrail update-trail --name my-test-trail --kms-key-id ""
```
Esta é uma resposta de exemplo:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default",
"LogFileValidationEnabled": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
A ausência do valor `KmsKeyId` indica que a criptografia para arquivos de log e arquivos de resumo não está mais habilitada.
**Importante**
Não é possível interromper a criptografia para datastore de eventos.
# Como AWS CloudTrail usa AWS KMS
Esta seção descreve como AWS KMS funciona com uma CloudTrail trilha criptografada com uma chave SSE-KMS.
**Importante**
AWS CloudTrail [e o Amazon S3 oferecem suporte somente para sistemas simétricos. AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks) Você não pode usar uma [chave KMS assimétrica](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) para criptografar seus registros. CloudTrail Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte [Identificar tipos de chaves diferentes](https://docs.aws.amazon.com/kms/latest/developerguide/identify-key-types.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Você não paga uma taxa de uso da chave ao CloudTrail ler ou gravar arquivos de log criptografados com uma chave SSE-KMS. No entanto, você paga uma taxa de uso da chave ao acessar arquivos de CloudTrail log criptografados com uma chave SSE-KMS. Para obter informações sobre AWS KMS preços, consulte [AWS Key Management Service Preços](https://aws.amazon.com/kms/pricing/). Para obter mais informações sobre definição de preço do CloudTrail , consulte [Definição de preço do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
## Entender quando a chave do KMS é usada para a trilha
Criptografar arquivos de CloudTrail log com AWS KMS versões do recurso Amazon S3 chamado criptografia do lado do servidor com um (SSE-KMS). AWS KMS key *Para saber mais sobre o SSE-KMS, consulte [Uso da criptografia do lado do servidor com AWS KMS chaves (SSE-KMS) no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) Guia do usuário do Amazon Simple Storage Service.*
Quando você configura AWS CloudTrail para usar o SSE-KMS para criptografar seus arquivos de log, e o Amazon CloudTrail S3 os usa AWS KMS keys quando você executa determinadas ações com esses serviços. As seções a seguir explicam quando e como esses serviços podem usar a chave do KMS e fornecem informações adicionais que podem validar essa explicação.
**Contents**
+ [
### Você configura CloudTrail para criptografar arquivos de log com seu AWS KMS key
](#cloudtrail-details-update-configuration)
+ [
### CloudTrail coloca um arquivo de log em seu bucket do S3
](#cloudtrail-details-put-log-file)
+ [
### Um arquivo de log criptografado é recebido do seu bucket do S3
](#cloudtrail-details-get-log-file)
### Você configura CloudTrail para criptografar arquivos de log com seu AWS KMS key
Quando você [atualiza sua CloudTrail configuração para usar sua chave KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html), CloudTrail envia uma [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitação AWS KMS para verificar se a chave KMS existe e se CloudTrail tem permissão para usá-la para criptografia. CloudTrail não usa a chave de dados resultante.
A solicitação `GenerateDataKey` inclui as seguintes informações para o [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ O [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) da trilha CloudTrail
+ O ARN do bucket do S3 e o caminho em que os arquivos de CloudTrail log são entregues
A `GenerateDataKey` solicitação resulta em uma entrada em seus CloudTrail registros semelhante ao exemplo a seguir. Ao ver uma entrada de registro como essa, você pode determinar que foi CloudTrail chamada de AWS KMS `GenerateDataKey` operação para uma trilha específica. AWS KMS criou a chave de dados em uma chave KMS específica.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSService",
"invokedBy": "cloudtrail.amazonaws.com"
},
"eventTime": "2024-12-06T20:14:46Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "cloudtrail.amazonaws.com",
"userAgent": "cloudtrail.amazonaws.com",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:123456789012:key/example1-6736-4661-bf00-exampleeb770",
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket-123456789012-9af1fb49/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T2010Z_TO50OLMG1hIQ1png.json.gz"
}
},
"responseElements": null,
"requestID": "a0555e85-7e8a-4765-bd8f-2222295558e1",
"eventID": "e4f3557e-7dbd-4e37-a00a-d86c137d1111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example1-6736-4661-bf00-exampleeb770"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"sharedEventID": "ce71d6be-0846-498e-851f-111a1af9078f",
"eventCategory": "Management"
}
```
### CloudTrail coloca um arquivo de log em seu bucket do S3
Cada vez que CloudTrail coloca um arquivo de log em seu bucket do S3, o Amazon S3 envia [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)uma solicitação em nome AWS KMS de. CloudTrail Em resposta a essa solicitação, AWS KMS gera uma chave de dados exclusiva e, em seguida, envia ao Amazon S3 duas cópias da chave de dados, uma em texto simples e outra criptografada com a chave KMS especificada. O Amazon S3 usa a chave de dados de texto simples para criptografar o arquivo de CloudTrail log e, em seguida, remove a chave de dados de texto simples da memória assim que possível após o uso. O Amazon S3 armazena a chave de dados criptografada como metadados com o arquivo de log criptografado CloudTrail .
A solicitação `GenerateDataKey` inclui as seguintes informações para o [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ O [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) da trilha CloudTrail
+ O ARN do objeto S3 (o arquivo de log) CloudTrail
Cada `GenerateDataKey` solicitação resulta em uma entrada em seus CloudTrail registros semelhante ao exemplo a seguir. Ao ver uma entrada de registro como essa, você pode determinar que ela CloudTrail chamou a AWS KMS `GenerateDataKey` operação de uma trilha específica para proteger um arquivo de log específico. AWS KMS criou a chave de dados sob a chave KMS especificada, mostrada duas vezes na mesma entrada de registro.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSService",
"invokedBy": "cloudtrail.amazonaws.com"
},
"eventTime": "2024-12-06T21:49:28Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "cloudtrail.amazonaws.com",
"userAgent": "cloudtrail.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1::trail/insights-trail",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket1-123456789012-7867ab0c/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T2150Z_hVXmrJzjZk2wAM2V.json.gz"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
},
"responseElements": null,
"requestID": "11117d14-9232-414a-b3d1-01bab4dc9f99",
"eventID": "999e9a50-512c-4e2a-84a3-111a5f511111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"sharedEventID": "5e663acc-b7fd-4cdd-8328-0eff862952fa",
"eventCategory": "Management"
}
```
### Um arquivo de log criptografado é recebido do seu bucket do S3
Cada vez que você recebe um arquivo de CloudTrail log criptografado do seu bucket do S3, o Amazon S3 envia [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)uma solicitação em seu nome AWS KMS para descriptografar a chave de dados criptografada do arquivo de log. Em resposta a essa solicitação, AWS KMS usa sua chave KMS para descriptografar a chave de dados e, em seguida, envia a chave de dados em texto simples para o Amazon S3. O Amazon S3 usa a chave de dados de texto simples para descriptografar o arquivo de CloudTrail log e, em seguida, remove a chave de dados de texto sem formatação da memória assim que possível após o uso.
A solicitação `Decrypt` inclui as seguintes informações para o [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html):
+ O [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) da trilha CloudTrail
+ O ARN do objeto S3 (o arquivo de log) CloudTrail
Cada `Decrypt` solicitação resulta em uma entrada em seus CloudTrail registros semelhante ao exemplo a seguir. Ao ver uma entrada de registro como essa, você pode determinar que uma função assumida é chamada de AWS KMS `Decrypt` operação para uma trilha específica e um arquivo de log específico. AWS KMS descriptografou a chave de dados em uma chave KMS específica.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-12-06T22:04:04Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2024-12-06T22:26:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cloudtrail:arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-logging-bucket1-123456789012-7867ab0c/AWSLogs/123456789012/CloudTrail/us-east-1/2024/12/06/123456789012_CloudTrail_us-east-1_20241206T0000Z_aAAsHbGBdye3jp2R.json.gz"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "1ab2d2d2-111a-2222-a59b-11a2b3832b53",
"eventID": "af4d4074-2849-4b3d-1a11-a1aaa111a111",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789012:key/example9-16ef-48ba-9163-example67a5a"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```