Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Política de claves de KMS predeterminada creada en la consola CloudTrail
Si crea una AWS KMS key en la CloudTrail consola, se crean automáticamente las siguientes políticas. La política concede estos permisos:
-
Permite permisos Cuenta de AWS (root) para la clave KMS.
-
Permite cifrar CloudTrail los archivos de registro y los archivos de resumen de la clave KMS y describir la clave KMS.
-
Permite a todos los usuarios de las cuentas especificadas descifrar los archivos de registro y los archivos de resumen.
-
Permite que todos los usuarios de la cuenta especificada creen un alias de KMS para la clave de KMS.
-
Habilita el descifrado de registros entre cuentas para el ID de la cuenta que creó el registro de seguimiento.
Política de clave de KMS predeterminada para registros de seguimiento
La siguiente es la política predeterminada que se crea para una AWS KMS key que se usa con una ruta.
La política incluye una declaración que permite a varias cuentas descifrar los archivos de registro y resumir los archivos con la clave KMS.
- JSON
-
-
{
"Version": "2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111
:root",
"arn:aws:iam::111111111111
:user/username
"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1
:111111111111
:trail/trail-name
"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111
:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111
"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111
:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111
"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111
:trail/*"
}
}
}
]
}
Política de claves de KMS predeterminada para los almacenes de datos de eventos de CloudTrail Lake
La siguiente es la política predeterminada que se crea para una AWS KMS key que se usa con un almacén de datos de eventos en CloudTrail Lake.
- JSON
-
-
{
"Version": "2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111
:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111
:assumed-role/example-role-name
"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}