In CloudTrail der Konsole erstellte Standard-KMS-Schlüsselrichtlinie - AWS CloudTrail
Standardmäßige KMS-Schlüsselrichtlinie für CloudTrail Lake-Ereignisdatenspeicher Standardmäßige KMS-Schlüsselrichtlinie für Trails

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

In CloudTrail der Konsole erstellte Standard-KMS-Schlüsselrichtlinie

Wenn Sie eine AWS KMS key in der CloudTrail Konsole erstellen, werden die folgenden Richtlinien automatisch für Sie erstellt. Die Richtlinie gewährt die folgenden Berechtigungen:

  • Erlaubt AWS-Konto (Root-) Berechtigungen für den KMS-Schlüssel.

  • Ermöglicht CloudTrail die Verschlüsselung von Protokolldateien unter dem KMS-Schlüssel und die Beschreibung des KMS-Schlüssels.

  • Ermöglicht allen Benutzern in dem angegebenen Konto das Entschlüsseln von Protokolldateien.

  • Ermöglicht allen Benutzern in dem angegebenen Konto das Erstellen eines KMS-Alias für den KMS-Schlüssel.

  • Aktiviert die kontoübergreifende Protokollentschlüsselung für die Konto-ID des Kontos, das den Trail erstellt hat.

Standardmäßige KMS-Schlüsselrichtlinie für CloudTrail Lake-Ereignisdatenspeicher

Im Folgenden finden Sie die Standardrichtlinie, die für eine erstellt wurde AWS KMS key , die Sie mit einem Ereignisdatenspeicher in CloudTrail Lake verwenden.

{
      "Version": "2012-10-17",
      "Id": "Key policy created by CloudTrail",
      "Statement": [
        {
          "Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
          "Effect": "Allow",
          "Principal": {
            "Service": "cloudtrail.amazonaws.com"
          },
          "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
          ],
          "Resource": "*"
        },
        {
          "Sid": "Enable IAM user permissions",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::account-id:root"
          },
          "Action": "kms:*",
          "Resource": "*"
        },
        {
          "Sid": "Enable user to have permissions",
          "Effect": "Allow",
          "Principal": {
            "AWS" : "arn:aws:sts::account-id:role-arn"
          },
          "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
           ],
          "Resource": "*"
        }
      ]
    }

Standardmäßige KMS-Schlüsselrichtlinie für Trails

Die folgende Standardrichtlinie wurde für eine erstellt AWS KMS key , die Sie mit einem Trail verwenden.

Anmerkung

Die Richtlinie enthält eine Anweisung, die die kontoübergreifende Entschlüsselung von Dateien mit dem KMS-Schlüssel erlaubt.

{
    "Version": "2012-10-17",
    "Id": "Key policy created by CloudTrail",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::account-id:root",
                    "arn:aws:iam::account-id:user/username"
                ]
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow CloudTrail to encrypt logs",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
             },
            "Action": "kms:GenerateDataKey*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
                }
            }
        },
        {
            "Sid": "Allow CloudTrail to describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
             },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow principals in the account to decrypt log files",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
             },
            "Action": [
                "kms:Decrypt",
                "kms:ReEncryptFrom"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:CallerAccount": "account-id"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
                }
            }
        },
        {
            "Sid": "Allow alias creation during setup",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
             },
            "Action": "kms:CreateAlias",
            "Resource": "arn:aws:kms:region:account-id:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "ec2.region.amazonaws.com",
                    "kms:CallerAccount": "account-id"
                }
            }
        },
        {
            "Sid": "Enable cross account log decryption",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Decrypt",
                "kms:ReEncryptFrom"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:CallerAccount": "account-id"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
                }
            }
        }
    ]
}