Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como uso o AWS KMS para criptografar dados de log no CloudWatch Logs?

3 minuto de leitura
0

Quero usar o AWS Key Management Service (AWS KMS) para criptografar dados de log no Amazon CloudWatch Logs.

Breve descrição

Por padrão, o CloudWatch Logs usa chaves de criptografia do lado do servidor (SSE) para criptografar dados do grupo de logs. Para controlar a criptografia de dados de log ou aderir à sua política de segurança, também é possível usar chaves gerenciadas pelo cliente no AWS KMS.

Observação: ao usar a criptografia do AWS KMS, você pode incorrer em custos maiores.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

É possível usar uma chave gerenciada pelo cliente existente para criptografar dados de log em um grupo de logs. Se você não tiver uma chave gerenciada pelo cliente, crie uma chave antes de começar.

Importante: É possível usar somente chaves simétricas do AWS KMS no CloudWatch Logs. Não use chaves assimétricas.

Conceder ao CloudWatch Logs as permissões necessárias para acessar a chave do AWS KMS

Para conceder ao CloudWatch Logs permissões para acessar a chave do AWS KMS, altere a política de chave. Certifique-se de que a entidade principal do serviço do CloudWatch Logs e o perfil de chamador tenham as permissões necessárias para usar a chave.

Associar uma chave do AWS KMS a um grupo de logs

É possível associar uma chave do AWS KMS durante ou após a criação. Pode levar até 5 minutos para que sua chave seja associada na criptografia.

Associar uma chave do AWS KMS durante a criação da chave

Conclua as etapas a seguir:

  1. Abra o console do CloudWatch.
  2. Escolha Grupos de logs no painel de navegação.
  3. Selecione Criar grupo de logs.
  4. Insira um nome e o ARN da chave do AWS KMS para o grupo de logs.
  5. Escolha Criar.

Ou execute o seguinte comando create-log-group da AWS CLI:

aws logs create-log-group --log-group-name example-log-group --kms-key-id example-key-arn

Observação: substitua example-log-group pelo nome do grupo de logs e example-key-arn pelo ID da chave do AWS KMS.

Associar uma chave do AWS KMS após a criação da chave

Observação: não é possível usar o console do CloudWatch para associar uma chave do AWS KMS a um grupo de logs já criado.

Para associar uma chave do AWS KMS depois de criá-la, execute o seguinte comando associate-kms-key:

aws logs associate-kms-key --log-group-name example-log-group --kms-key-id example-key-arn

Observação: substitua example-log-group pelo nome do grupo de logs e example-key-arn pelo ID da chave do AWS KMS.

Também é possível desassociar uma chave do AWS KMS de um grupo de logs. Depois de desassociar ou alterar uma chave do AWS KMS, o CloudWatch Logs pode descriptografar e retornar os dados de log. No entanto, se você desativar uma chave do AWS KMS, o CloudWatch Logs não poderá ler os logs que você criptografou com a chave.

Informações relacionadas

Criptografar dados de log no CloudWatch Logs usando o AWS Key Management Service

Proteção de dados no Amazon CloudWatch Logs

Tópicos
Management & GovernanceSecurity, Identity, & ComplianceNetworking & Content Delivery
Tags
Amazon CloudWatchAWS Key Management ServiceAmazon CloudWatch Logs
Idioma
Português
AWS OFICIALAtualizada há 8 meses
Sem comentários

Conteúdo relevante