Ativar a criptografia dos arquivos de log

Criptografando arquivos de CloudTrail log com AWS KMS chaves (SSE-KMS)

Por padrão, os arquivos de log entregues CloudTrail ao seu bucket são criptografados usando criptografia do lado do servidor com uma chave KMS (SSE-KMS). Se você não habilitar a criptografia SSE-KMS, seus registros serão criptografados usando a criptografia SSE-S3.

nota

A ativação da criptografia no servidor criptografa os arquivos de log com o SSE-KMS, mas não os arquivos de compilação. Os arquivos de compilação são criptografados com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Se você estiver usando um bucket S3 existente com uma chave de bucket S3, CloudTrail deverá ter permissão na política de chaves para usar as AWS KMS ações e. GenerateDataKey DescribeKey Se o cloudtrail.amazonaws.com não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.

Para usar o SSE-KMS com CloudTrail, você cria e gerencia uma chave KMS, também conhecida como. AWS KMS key Você anexa uma política à chave que determina quais usuários podem usar a chave para criptografar e CloudTrail descriptografar arquivos de log. A descriptografia é facilitada pelo S3. Quando os usuários autorizados da chave leem os arquivos de CloudTrail log, o S3 gerencia a descriptografia e os usuários autorizados podem ler os arquivos de log em formato não criptografado.

Essa abordagem tem as seguintes vantagens:

É possível criar e gerenciar você mesmo as chaves de criptografia KMS.
É possível usar uma única chave do KMS para criptografar e descriptografar os arquivos de log de várias contas em todas as regiões.
Você tem controle sobre quem pode usar sua chave para criptografar e CloudTrail descriptografar arquivos de log. Você pode atribuir permissões para a chave aos usuários na sua organização de acordo com os seus requisitos.
Você tem segurança aprimorada. Com esse recurso, para ler arquivos de log, as seguintes permissões são necessárias:
- Um usuário deve ter permissões de leitura do S3 para o bucket que contém os arquivos de log.
- Um usuário também deve ter uma política ou função aplicada com permissões de descriptografia pela política da chave do KMS.
Como o S3 descriptografa automaticamente os arquivos de log para solicitações de usuários autorizados a usar a chave KMS, a criptografia SSE-KMS para arquivos de log é compatível com versões anteriores de aplicativos que lêem dados de CloudTrail log. CloudTrail

nota

A chave KMS que você escolher deve ser criada na mesma AWS região do bucket do Amazon S3 que recebe seus arquivos de log. Por exemplo, se os arquivos de log serão armazenados em um bucket na região Leste dos EUA (Ohio), você deverá criar ou escolher uma chave do KMS que foi criada nessa região. Para verificar a região de um bucket do Amazon S3, inspecione as respectivas propriedades no console do Amazon S3.

Ativar a criptografia dos arquivos de log

nota

Se você criar uma chave KMS no CloudTrail console, CloudTrail adicionará as seções de política de chaves KMS necessárias para você. Siga esses procedimentos se você criou uma chave no console do IAM ou AWS CLI precisa adicionar manualmente as seções de política necessárias.

Para habilitar a criptografia SSE-KMS para arquivos de CloudTrail log, execute as seguintes etapas de alto nível:

Crie uma chave do KMS.
- Para obter informações sobre como criar uma chave KMS com o AWS Management Console, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.
- Para obter informações sobre como criar uma chave KMS com o AWS CLI, consulte create-key.
nota
A chave do KMS escolhida deve estar na mesma região que o bucket do S3 que recebe seus arquivos de log. Para verificar a região de um bucket do S3, inspecione as propriedades do bucket no console do S3.
Adicione seções de política à chave que permitem CloudTrail criptografar e que os usuários descriptografem arquivos de log.
- Para obter informações sobre o que incluir na política, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
  
  Atenção
  Inclua permissões de descriptografia na política de todos os usuários que precisam ler arquivos de log. Se não executar essa etapa antes de adicionar a chave à configuração da trilha, os usuários que não tiverem permissão de descriptografia não conseguirão ler arquivos criptografados até que essas permissões sejam concedidas para eles.
- Para obter informações sobre como editar uma política com o console do IAM, consulte Como editar uma política de chaves no Guia do desenvolvedor do AWS Key Management Service .
- Para obter informações sobre como anexar uma política a uma chave KMS com AWS CLI o. put-key-policy
Atualize sua trilha para usar a chave KMS cuja política você modificou. CloudTrail
- Para atualizar a configuração da trilha usando o CloudTrail console, consulteAtualizar um recurso para usar sua chave do KMS.
- Para atualizar a configuração da trilha usando o AWS CLI, consulteHabilitar e desabilitar a criptografia de arquivos de log do CloudTrail com a AWS CLI.

CloudTrail também oferece suporte a chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .

A próxima seção descreve as seções de política que sua política de chaves do KMS exige para uso com CloudTrail.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Melhores práticas de segurança

Conceder permissões para criar uma chave do KMS