AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Comment puis-je utiliser AWS KMS pour chiffrer les données de journal dans CloudWatch Logs ?
Je souhaite utiliser AWS Key Management Service (AWS KMS) pour chiffrer les données du journal dans Amazon CloudWatch Logs.
Brève description
Par défaut, CloudWatch Logs utilise des clés de chiffrement côté serveur (SSE) pour chiffrer les données des groupes de journaux. Pour contrôler le chiffrement des données de journaux ou respecter votre politique de sécurité, vous pouvez également utiliser des clés gérées par le client dans AWS KMS.
Remarque : L'utilisation du chiffrement AWS KMS peut entraîner des coûts supplémentaires.
Résolution
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.
Vous pouvez utiliser une clé gérée par le client existante pour chiffrer les données de journal d'un groupe de journaux. Si vous ne possédez pas de clé gérée par le client, créez-en une avant de commencer.
Important : Vous ne pouvez utiliser que des clés AWS KMS symétriques dans CloudWatch Logs. N'utilisez pas de touches asymétriques.
Accorder à CloudWatch Logs les autorisations nécessaires pour accéder à la clé AWS KMS
Pour accorder à CloudWatch Logs l'autorisation d'accéder à la clé AWS KMS, modifiez la politique de clé. Assurez-vous que le principal du service CloudWatch Logs et le rôle de l'appelant disposent des autorisations requises pour utiliser la clé.
Associer une clé AWS KMS à un groupe de journaux
Vous pouvez associer une clé AWS KMS pendant ou après la création. L'association de votre clé au moment du chiffrement peut prendre jusqu'à 5 minutes.
Associer une clé AWS KMS lors de la création de la clé
Procédez comme suit :
- Ouvrez la console CloudWatch.
- Dans le volet de navigation, sélectionnez Groupes de journaux.
- Sélectionnez Créer un groupe de journaux.
- Entrez un nom et l'ARN de la clé AWS KMS pour le groupe de journaux.
- Sélectionnez Créer.
Vous pouvez également exécuter la commande create-log-group de l’interface de ligne de commande suivante :
aws logs create-log-group --log-group-name example-log-group --kms-key-id example-key-arn
Remarque : Remplacez example-log-group par le nom du groupe et example-key-arn avec l’ID de clé AWS KMS.
Associer une clé AWS KMS après sa création
Remarque : Vous ne pouvez pas utiliser la console CloudWatch pour associer une clé AWS KMS à un groupe de journaux existant.
Pour associer une clé AWS KMS après l'avoir créée, exécutez la commande associate-kms-key suivante :
aws logs associate-kms-key --log-group-name example-log-group --kms-key-id example-key-arn
Remarque : Remplacez example-log-group par le nom du groupe et example-key-arn avec l’ID de clé AWS KMS.
Vous pouvez également dissocier une clé AWS KMS d'un groupe de journaux. Une fois que vous avez dissocié ou modifié une clé AWS KMS, CloudWatch Logs peut déchiffrer et renvoyer les données de journal. Toutefois, si vous désactivez une clé AWS KMS, CloudWatch Logs ne peut pas lire les journaux que vous avez chiffrés avec cette clé.
Informations connexes
Chiffrer les données des journaux dans CloudWatch Logs à l'aide d'AWS Key Management Service
- Langue
- Français
Contenus pertinents
- demandé il y a 2 ans
- demandé il y a 3 ans
- demandé il y a 3 ans
- AWS OFFICIELA mis à jour il y a 2 ans