Wie AWS CloudTrailAWS KMS verwendet

Mithilfe von AWS CloudTrail können Sie AWS-API-Aufrufe und andere Aktivitäten in Ihrem AWS-Konto erfassen und die aufgezeichneten Informationen in Protokolldateien in einem Amazon Simple Storage Service (Amazon S3)-Bucket Ihrer Wahl speichern. Standardmäßig werden die Protokolldateien, die in Ihrem S3-Bucket CloudTrail ablegt, mit serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) verschlüsselt. Alternativ können Sie auch die serverseitige Verschlüsselung mit von verwalteten Schlüsseln (SSE-KMS) wählen. Informationen zum Verschlüsseln Ihrer CloudTrail Protokolldateien mit AWS KMSfinden Sie unter Verschlüsseln von CloudTrail Protokolldateien mit AWS KMS keys (SSE-KMS) im AWS CloudTrail -Benutzerhandbuch.

Wichtig

AWS CloudTrail und Amazon S3 unterstützen nur symmetrische AWS KMS keys. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um Ihre CloudTrail Protokolle zu verschlüsseln. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen asymmetrischer KMS-Schlüssel.

Sie zahlen keine Gebühr für die Schlüsselnutzung, wenn Sie Protokolldateien CloudTrail lesen oder schreiben, die mit einem SSE-KMS-Schlüssel verschlüsselt sind. Sie zahlen jedoch eine Gebühr für die Schlüsselnutzung, wenn Sie auf CloudTrail Protokolldateien zugreifen, die mit einem SSE-KMS-Schlüssel verschlüsselt sind. Informationen zu AWS KMS-Preisen erhalten Sie unter AWS Key Management Service Pricing (Preise für WAF). Weitere Informationen zu CloudTrail Preisen finden Sie unter -AWS CloudTrailPreise und Verwalten von Kosten im AWS CloudTrail -Benutzerhandbuch.

Verstehen, wann Ihr KMS-Schlüssel verwendet wird

Das Verschlüsseln von CloudTrail Protokolldateien mit AWS KMS baut auf der Amazon S3-Funktion auf, die als serverseitige Verschlüsselung mit einem AWS KMS key (SSE-KMS) bezeichnet wird. Weitere Informationen zu SSE-KMS finden Sie unter Wie Amazon Simple Storage Service (Amazon S3) AWS KMS nutzt in diesem Handbuch oder unter Schützen von Daten mithilfe der serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) im Amazon-Simple-Storage-Service-Benutzerhandbuch.

Wenn Sie für AWS CloudTrail die Verwendung von SSE-KMS zum Verschlüsseln Ihrer Protokolldateien konfigurieren CloudTrail und Amazon S3 Ihre verwendet, AWS KMS keys wenn Sie bestimmte Aktionen mit diesen Services ausführen. In den folgenden Abschnitten erläutern wir Ihnen, wann und wie diese Services Ihren KMS-Schlüssel verwenden können. Außerdem finden Sie weiterführende Informationen, anhand derer Sie diese Erklärungen praktisch nachvollziehen können.

Aktionen, die dazu führen, dass CloudTrail und Amazon S3 Ihren KMS-Schlüssel verwenden

• Sie konfigurieren CloudTrail , um Protokolldateien mit Ihrem zu verschlüsseln AWS KMS key
• CloudTrail speichert eine Protokolldatei in Ihrem S3-Bucket
• Sie erhalten eine verschlüsselte Protokolldatei aus Ihrem S3-Bucket

Sie konfigurieren CloudTrail , um Protokolldateien mit Ihrem zu verschlüsseln AWS KMS key

Wenn Sie Ihre CloudTrail Konfiguration aktualisieren, um Ihren KMS-Schlüssel zu verwenden, CloudTrail sendet eine GenerateDataKey Anforderung an , AWS KMS um zu überprüfen, ob der KMS-Schlüssel vorhanden ist und die Berechtigung CloudTrail hat, ihn für die Verschlüsselung zu verwenden. verwendet nicht den CloudTrail resultierenden Datenschlüssel.

Die Anforderung des Typs GenerateDataKey enthält die folgenden Informationen für denVerschlüsselungskontext:

• Der Amazon-Ressourcenname (ARN) des CloudTrail Trails

• Der ARN des S3-Buckets und des Pfads, an den die CloudTrail Protokolldateien übermittelt werden

Die GenerateDataKey Anforderung führt zu einem Eintrag in Ihren CloudTrail Protokollen, der dem folgenden Beispiel ähnelt. Wenn Sie einen solchen Protokolleintrag sehen, können Sie feststellen, dass CloudTrail ( ) die AWS KMS ( )-GenerateDataKeyOperation ( ) für einen bestimmten Trail () aufgerufen hat . hat den Datenschlüssel unter einem bestimmten KMS-Schlüssel () AWS KMS erstellt .

Anmerkung

Möglicherweise müssen Sie nach rechts scrollen, um einige der Textfelder im folgenden Beispielprotokolleintrag anzuzeigen.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail",
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "userName": "AWSCloudTrail",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T21:15:33Z"
    }},
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:33Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAliasForCloudTrailKMS key",
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/"
    },
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "581f1f11-88b9-11e5-9c9c-595a1fb59ac0",
  "eventID": "3cdb2457-c035-4890-93b6-181832b9e766",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

CloudTrail speichert eine Protokolldatei in Ihrem S3-Bucket

Jedes Mal, wenn eine Protokolldatei in Ihren S3-Bucket CloudTrail einfügt, sendet Amazon S3 AWS KMS im Namen von eine GenerateDataKey Anforderung an CloudTrail. Als Antwort auf diese Anforderung generiert AWS KMS einen eindeutigen Datenschlüssel und sendet zwei Kopien dieses Datenschlüssels an Amazon S3: eine Kopie als Klartext und eine Kopie, die mit dem angegebenen KMS-Schlüssel verschlüsselt ist. Amazon S3 verwendet den Klartext-Datenschlüssel, um die CloudTrail Protokolldatei zu verschlüsseln, und entfernt dann den Klartext-Datenschlüssel so schnell wie möglich nach der Verwendung aus dem Speicher. Amazon S3 speichert den verschlüsselten Datenschlüssel als Metadaten mit der verschlüsselten CloudTrail Protokolldatei.

Die Anforderung des Typs GenerateDataKey enthält die folgenden Informationen für denVerschlüsselungskontext:

• Der Amazon-Ressourcenname (ARN) des CloudTrail Trails

• Der ARN des S3-Objekts (die CloudTrail Protokolldatei)

Jede GenerateDataKey Anforderung führt zu einem Eintrag in Ihren CloudTrail Protokollen, der dem folgenden Beispiel ähnelt. Wenn Sie einen solchen Protokolleintrag sehen, können Sie feststellen, dass CloudTrail ( ) die AWS KMS ( )-GenerateDataKeyOperation ( ) für einen bestimmten Trail () aufgerufen hat, um eine bestimmte Protokolldatei ( ) zu schützen . hat den Datenschlüssel unter dem angegebenen KMS-Schlüssel () AWS KMS erstellt , der zweimal im selben Protokolleintrag angezeigt wird.

Anmerkung

Möglicherweise müssen Sie nach rechts scrollen, um einige der Textfelder im folgenden Beispielprotokolleintrag anzuzeigen.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85",
    "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85",
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-11-11T20:45:25Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::086441151436:role/AWSCloudTrail",
        "accountId": "086441151436",
        "userName": "AWSCloudTrail"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:58Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"
    },
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "66f3f74a-88b9-11e5-b7fb-63d925c72ffe",
  "eventID": "7738554f-92ab-4e27-83e3-03354b1aa898",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

Sie erhalten eine verschlüsselte Protokolldatei aus Ihrem S3-Bucket

Jedes Mal, wenn Sie eine verschlüsselte CloudTrail Protokolldatei aus Ihrem S3-Bucket erhalten, sendet Amazon S3 AWS KMS in Ihrem Namen eine Decrypt Anforderung an , um den verschlüsselten Datenschlüssel der Protokolldatei zu entschlüsseln. Als Antwort auf diese Anforderung entschlüsselt AWS KMS mithilfe Ihres KMS-Schlüssels den Datenschlüssel und sendet diesen dann als Klartext-Datenschlüssel an Amazon S3. Amazon S3 verwendet den Klartext-Datenschlüssel, um die CloudTrail Protokolldatei zu entschlüsseln, und entfernt dann den Klartext-Datenschlüssel so schnell wie möglich nach der Verwendung aus dem Speicher.

Die Anforderung des Typs Decrypt enthält die folgenden Informationen für denVerschlüsselungskontext:

• Der Amazon-Ressourcenname (ARN) des CloudTrail Trails

• Der ARN des S3-Objekts (die CloudTrail Protokolldatei)

Jede Decrypt Anforderung führt zu einem Eintrag in Ihren CloudTrail Protokollen, der dem folgenden Beispiel ähnelt. Einem solchen Protokolleintrag können Sie entnehmen, dass ein Benutzer in Ihrem AWS-Konto ( ) die AWS KMS ( ) Decrypt-Operation ( ) für einen bestimmten Trail ( ) und eine bestimmte Protokolldatei ( ) aufgerufen hat. AWS KMS hat den Datenschlüssel mit einem bestimmten KMS-Schlüssel ( ) entschlüsselt.

Anmerkung

Möglicherweise müssen Sie nach rechts scrollen, um einige der Textfelder im folgenden Beispielprotokolleintrag anzuzeigen.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "userName": "cloudtrail-admin",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T20:48:04Z"
    }},
    "invokedBy": "signin.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:20:52Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"
    }
  },
  "responseElements": null,
  "requestID": "16a0590a-88ba-11e5-b406-436f15c3ac01",
  "eventID": "9525bee7-5145-42b0-bed5-ab7196a16daa",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}