Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
Wie verwende ich AWS KMS, um Protokolldaten in CloudWatch Logs zu verschlüsseln?
Ich möchte den AWS Key Management Service (AWS KMS) verwenden, um Protokolldaten in Amazon CloudWatch Logs zu verschlüsseln.
Kurzbeschreibung
Standardmäßig verwendet CloudWatch Logs serverseitige Verschlüsselungsschlüssel (SSE), um Protokollgruppendaten zu verschlüsseln. Um die Verschlüsselung von Protokolldaten zu steuern oder die Sicherheitsrichtlinien einzuhalten, kannst du auch vom Kunden verwaltete Schlüssel in AWS KMS verwenden.
Hinweis: Wenn du die AWS KMS-Verschlüsselung verwendest, können höhere Kosten anfallen.
Lösung
Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.
Du kannst einen vorhandenen, vom Kunden verwalteten Schlüssel verwenden, um Protokolldaten in einer Protokollgruppe zu verschlüsseln. Wenn du keinen vom Kunden verwalteten Schlüssel hast, erstelle einen Schlüssel, bevor du beginnst.
Wichtig: Du kannst in CloudWatch Logs nur symmetrische AWS-KMS-Schlüssel verwenden. Verwende keine asymmetrischen Schlüssel.
CloudWatch Logs die erforderlichen Berechtigungen für den Zugriff auf den AWS-KMS-Schlüssel gewähren
Um CloudWatch Logs-Berechtigungen für den Zugriff auf den AWS-KMS-Schlüssel zu gewähren, ändere die Schlüsselrichtlinie. Stelle sicher, dass der CloudWatch Logs-Service-Prinzipal und die Aufruferrolle über die erforderlichen Berechtigungen zur Verwendung des Schlüssels verfügen.
Verknüpfen eines AWS-KMS-Schlüssels mit einer Protokollgruppe
Du kannst während oder nach der Erstellung einen AWS-KMS-Schlüssel zuordnen. Es dauert bis zu 5 Minuten, bis der Schlüssel bei der Verschlüsselung zugeordnet ist.
Während der Schlüsselerstellung einen AWS-KMS-Schlüssel zuordnen
Führe die folgenden Schritte aus:
- Öffne die CloudWatch-Konsole.
- Wähle im Navigationsbereich die Option Protokollgruppen aus.
- Wähle Protokollgruppe erstellen aus.
- Gib einen Namen und den AWS-KMS-Schlüssel-ARN für die Protokollgruppe ein.
- Wähle Erstellen.
Oder führe den folgenden AWS-CLI-Befehl create-log-group aus:
aws logs create-log-group --log-group-name example-log-group --kms-key-id example-key-arn
Hinweis: Ersetze example-log-group durch den Namen der Protokollgruppe und example-key-arn durch die AWS-KMS-Schlüssel-ID.
Einen AWS-KMS-Schlüssel nach der Schlüsselerstellung zuordnen
Hinweis: Du kannst die CloudWatch-Konsole nicht verwenden, um einer vorhandenen Protokollgruppe einen AWS-KMS-Schlüssel zuzuordnen.
Um einen AWS-KMS-Schlüssel zuzuordnen, nachdem du ihn erstellt hast, führe den folgenden Befehl associate-kms-key aus:
aws logs associate-kms-key --log-group-name example-log-group --kms-key-id example-key-arn
Hinweis: Ersetze example-log-group durch den Namen der Protokollgruppe und example-key-arn durch die AWS-KMS-Schlüssel-ID.
Du kannst einen AWS-KMS-Schlüssel auch von einer Protokollgruppe trennen. Nachdem du einen AWS-KMS-Schlüssel getrennt oder geändert hast, kann CloudWatch Logs Protokolldaten entschlüsseln und zurückgeben. Wenn du jedoch einen AWS-KMS-Schlüssel deaktivierst, kann CloudWatch Logs die Protokolle, die du mit dem Schlüssel verschlüsselt hast, nicht lesen.
Ähnliche Informationen
Protokolldaten in CloudWatch Logs mithilfe des AWS Key Management Service verschlüsseln
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr