本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 更新資源以搭配 主控台使用您的 KMS 金鑰
<a name="create-kms-key-policy-for-cloudtrail-update-trail"></a>

在 CloudTrail 主控台上，更新追蹤或事件資料存放區以使用 KMS 金鑰。請注意，使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。如需詳細資訊，請參閱[AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。

**Topics**
+ [更新追蹤以使用 KMS 金鑰](#kms-key-policy-update-trail)
+ [更新事件資料存放區以使用 KMS 金鑰](#kms-key-policy-update-eds)

## 更新追蹤以使用 KMS 金鑰
<a name="kms-key-policy-update-trail"></a>

若要更新線索以使用您為 CloudTrail 修改 AWS KMS key 的 ，請在 CloudTrail 主控台中完成下列步驟。

**注意**  
如果您使用帶有[S3 儲存貯體金鑰](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)的 S3 儲存貯體，則必須在金鑰政策中允許CloudTrail 使用 AWS KMS 動作 `GenerateDataKey` 和 `DescribeKey`。如果 `cloudtrail.amazonaws.com` 未授與金鑰政策中的這些許可，則無法建立或更新追蹤。

若要使用 更新線索 AWS CLI，請參閱 [使用 啟用和停用 CloudTrail 日誌檔案、摘要檔案和事件資料存放區的加密 AWS CLI](cloudtrail-log-file-encryption-cli.md)。

**更新追蹤以使用您的 KMS 金鑰**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1. 選擇 **Trails** (追蹤)，然後選擇追蹤名稱。

1. 在 **General details** (一般詳細資訊) 中，選擇 **Edit **(編輯)。

1. 對於**日誌檔案 SSE-KMS 加密**，如果您想要使用 SSE-KMS 加密而非 SSE-S3 加密來加密日誌檔案和摘要檔案，請選擇**已啟用**。預設為**啟用**。如果您未啟用 SSE-KMS 加密，您的日誌檔案和摘要檔案會使用 SSE-S3 加密進行加密。如需 SSE-KMS 加密的詳細資訊，請參閱[搭配 AWS Key Management Service (SSE-KMS) 使用伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。如需 SSE-S3 加密的詳細資訊，請參閱[搭配使用伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

   選擇 **Existing** (現有) 來使用 AWS KMS key更新您的追蹤。選擇與接收您日誌檔案之 S3 儲存貯體位在相同區域中的 KMS 金鑰。若要驗證 S3 儲存貯體的區域，請在 S3 主控台中檢視其屬性。
**注意**  
您也可以輸入來自另一個帳戶的金鑰 ARN。如需詳細資訊，請參閱[更新資源以搭配 主控台使用您的 KMS 金鑰](#create-kms-key-policy-for-cloudtrail-update-trail)。金鑰政策必須允許 CloudTrail 使用金鑰來加密您的日誌檔案和摘要檔案，並允許您指定的使用者以未加密的形式讀取日誌檔案或摘要檔案。如需手動編輯金鑰政策的資訊，請參閱「[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)」。

   在 **AWS KMS Alias** (別名) 中，指定您為其變更政策以與 CloudTrail 搭配使用的別名，格式為 `alias/`*MyAliasName*。如需詳細資訊，請參閱[更新資源以搭配 主控台使用您的 KMS 金鑰](#create-kms-key-policy-for-cloudtrail-update-trail)。

   您可以輸入別名、ARN 或全域唯一金鑰 ID。如果 KMS 金鑰屬於其他帳戶，請驗證金鑰政策具備許可，可讓您使用它。此值的格式可為下列其中之一：
   + **別名**：`alias/MyAliasName`
   + **別名 ARN**：`arn:aws:kms:region:123456789012:alias/MyAliasName`
   + **金鑰 ARN**：`arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
   + **全域唯一金鑰 ID**：`12345678-1234-1234-1234-123456789012`

1. 選擇 **Update trail** (更新追蹤)。
**注意**  
如果您選擇的 KMS 金鑰已停用或待刪除，您將無法使用該 KMS 金鑰來儲存追蹤。您可以啟用 KMS 金鑰或選擇另一個。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[金鑰狀態：對 KMS 金鑰的影響](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html)。

## 更新事件資料存放區以使用 KMS 金鑰
<a name="kms-key-policy-update-eds"></a>

若要更新事件資料存放區以使用您為 CloudTrail 修改 AWS KMS key 的 ，請在 CloudTrail 主控台中完成下列步驟。

若要使用 更新事件資料存放區 AWS CLI，請參閱 [使用 更新事件資料存放區 AWS CLI](lake-cli-update-eds.md)。

**重要**  
停用或刪除 KMS 金鑰，或移除該金鑰的 CloudTrail 許可，會導致 CloudTrail 無法將事件擷取到事件資料存放區，並導致使用者無法查詢使用該金鑰加密的事件資料存放區中的資料。將事件資料存放區與 KMS 金鑰建立關聯後，就無法移除或變更 KMS 金鑰。停用或刪除您搭配事件資料存放區使用的 KMS 金鑰之前，請先刪除或備份您的事件資料存放區。

**若要更新事件資料存放區以使用您的 KMS 金鑰**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

1. 在導覽窗格中，選擇 **Lake** 中的 **Event data stores** (事件資料存放區)。選擇事件資料存放區以進行更新。

1. 在 **General details** (一般詳細資訊) 中，選擇 **Edit **(編輯)。

1. 針對**加密**，如果尚未啟用，請選擇**使用我自己的 AWS KMS key** KMS 金鑰來加密事件資料存放區。

   選擇 **Existing** (現有) 來使用您的 KMS 金鑰更新您的事件資料存放區。選擇與事件資料存放區位在相同區域中的 KMS 金鑰。不支援來自另一個帳戶的金鑰。

   在**輸入 AWS KMS 別名**中，指定您變更政策以搭配 CloudTrail 使用的別名，格式為 `alias/`*MyAliasName*。如需詳細資訊，請參閱[更新資源以搭配 主控台使用您的 KMS 金鑰](#create-kms-key-policy-for-cloudtrail-update-trail)。

   您可以選擇別名，或使用全域唯一金鑰 ID。此值的格式可為下列其中之一：
   + **別名**：`alias/MyAliasName`
   + **別名 ARN**：`arn:aws:kms:region:123456789012:alias/MyAliasName`
   + **金鑰 ARN**：`arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012`
   + **全域唯一金鑰 ID**：`12345678-1234-1234-1234-123456789012`

1. 選擇**儲存變更**。
**注意**  
如果您選擇的 KMS 金鑰已停用或待刪除，您將無法使用該 KMS 金鑰來儲存事件資料存放區組態。您可以啟用 KMS 金鑰，或選擇不同的金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[金鑰狀態：對 KMS 金鑰的影響](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html)。