Bewährte Methoden zur Verschlüsselung für AWS CloudTrail - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden zur Verschlüsselung für AWS CloudTrail

AWS CloudTrail unterstützt die Aktivierung von Governance-, Compliance-, Betriebs- und Risikoprüfungen Ihres AWS-Konto.

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

  • CloudTrail Protokolle sollten mithilfe eines vom Kunden verwalteten Systems verschlüsselt werden AWS KMS key. Wählen Sie einen KMS-Schlüssel aus, der sich in derselben Region befindet wie der S3 Bucket, der Ihre Protokolldateien empfängt. Weitere Informationen finden Sie unter Aktualisieren eines Trails zur Verwendung Ihres KMS-Schlüssel.

  • Aktivieren Sie als zusätzliche Sicherheitsebene die Überprüfung von Protokolldateien für Trails. Auf diese Weise können Sie feststellen, ob eine Protokolldatei nach der CloudTrail Lieferung geändert, gelöscht oder unverändert wurde. Anweisungen finden Sie unter Aktivieren der Integritätsprüfung von Protokolldateien für CloudTrail.

  • Verwenden Sie VPC-Endpunkte mit Schnittstellen, um die Kommunikation mit Ressourcen in anderen CloudTrail zu ermöglichen, VPCs ohne das öffentliche Internet zu durchqueren. Weitere Informationen finden Sie unter Verwenden von AWS CloudTrail mit Schnittstellen-VPC-Endpunkten.

  • Fügen Sie der KMS-Schlüsselrichtlinie einen aws:SourceArn Bedingungsschlüssel hinzu, um sicherzustellen, dass der KMS-Schlüssel nur für einen oder mehrere bestimmte Pfade CloudTrail verwendet wird. Weitere Informationen finden Sie unter AWS KMS key Richtlinien konfigurieren für CloudTrail.

  • Implementieren Sie unter die cloud-trail-encryption-enabled AWS verwaltete Regel AWS Config, um die Verschlüsselung von Protokolldateien zu validieren und durchzusetzen.

  • Wenn CloudTrail es so konfiguriert ist, dass Benachrichtigungen über Amazon Simple Notification Service (Amazon SNS) -Themen gesendet werden, fügen Sie der CloudTrail Richtlinienerklärung einen aws:SourceArn (oder optionalaws:SourceAccount) Bedingungsschlüssel hinzu, um unbefugten Kontozugriff auf das SNS-Thema zu verhindern. Weitere Informationen finden Sie unter Amazon SNS SNS-Themenrichtlinie für CloudTrail.

  • Wenn Sie verwenden AWS Organizations, erstellen Sie einen Organisationspfad, der AWS-Konten alle Ereignisse für diese Organisation protokolliert. Dazu gehören das Verwaltungskonto und alle Mitgliedskonten der Organisation. Weitere Informationen finden unter Erstellen eines Trails für eine Organisation.

  • Erstellen Sie einen Pfad, der für alle Bereiche gilt, in AWS-Regionen denen Sie Unternehmensdaten speichern, um AWS-Konto Aktivitäten in diesen Regionen aufzuzeichnen. AWS Schließt beim Start einer neuen Region CloudTrail automatisch die neue Region ein und protokolliert Ereignisse in dieser Region.