Cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS KMS claves (SSE-KMS)

De forma predeterminada, los archivos de registro y los archivos de resumen que se envían CloudTrail al bucket se cifran mediante el cifrado del lado del servidor con una clave KMS (SSE-KMS). Si no habilitas el cifrado SSE-KMS, los archivos de registro y los archivos de resumen se cifran mediante el cifrado SSE-S3.

nota

Si utilizas un bucket de S3 existente con una clave de bucket de S3, CloudTrail debes tener permiso en la política de claves para usar las acciones y. AWS KMS GenerateDataKey DescribeKey Si cloudtrail.amazonaws.com no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.

Para usar SSE-KMS con CloudTrail, debe crear y administrar un. AWS KMS key Adjunta una política a la clave que determina qué usuarios pueden utilizarla para cifrar y descifrar los archivos de CloudTrail registro y los archivos de resumen. El proceso de descifrado transcurre de manera fluida a través de S3. Cuando los usuarios autorizados de la clave leen los archivos de CloudTrail registro o los archivos de resumen, S3 gestiona el descifrado y los usuarios autorizados pueden leer los archivos sin cifrar.

Este enfoque tiene las siguientes ventajas:

• Puede crear y administrar la clave KMS usted mismo.

• Puede usar una única clave KMS para cifrar y descifrar los archivos de registro y los archivos de resumen de varias cuentas en todas las regiones.

• Usted controla quién puede usar su clave para cifrar y descifrar los archivos de CloudTrail registro y los archivos de resumen. Puede asignar permisos para la clave a los usuarios de su organización, según sus requisitos.

• Aumenta la seguridad. Con esta función, para leer archivos de registro o archivos de resumen, se requieren los siguientes permisos:

  • El usuario debe tener permisos de lectura de S3 para el depósito que contiene los archivos de registro y los archivos de resumen.

  • También se debe aplicar a un usuario una política o un rol que la política de la clave de KMS conceda permisos de descifrado.

• Como S3 descifra automáticamente los archivos de registro y los archivos de resumen para las solicitudes de los usuarios autorizados a utilizar la clave KMS, el cifrado SSE-KMS de los archivos es compatible con versiones anteriores de las aplicaciones que leen datos de registro. CloudTrail

nota

La clave de KMS que elija debe crearse en la misma AWS región que el bucket de Amazon S3 que recibe los archivos de registro y los archivos de resumen. Por ejemplo, si los archivos de registro y los archivos de resumen se van a almacenar en un depósito en la región EE.UU. Este (Ohio), debe crear o elegir una clave de KMS que se haya creado en esa región. Para verificar la región a la que pertenece un bucket de Amazon S3, consulte sus propiedades en la consola de Amazon S3.

De forma predeterminada, los almacenes de datos de eventos se cifran con CloudTrail. Tiene la opción de usar su propia clave KMS para el cifrado al crear o actualizar un banco de datos de eventos.

Activación del cifrado de los archivos de registro

nota

Si crea una clave de KMS en la CloudTrail consola, CloudTrail añade automáticamente las secciones de política de claves de KMS necesarias. Siga estos procedimientos si ha creado una clave en la consola de IAM o AWS CLI si necesita añadir manualmente las secciones de política necesarias.

Para habilitar el cifrado SSE-KMS para los archivos de CloudTrail registro, lleve a cabo los siguientes pasos de alto nivel:

1. Creación de una clave de KMS.

   • Para obtener información sobre cómo crear una clave KMS con AWS Management Console, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.

   • Para obtener información sobre cómo crear una clave KMS con AWS CLI, consulte create-key.

   nota

   La clave de KMS que elija debe estar en la misma región que el depósito de S3 que recibe los archivos de registro y los archivos de resumen. Para verificar la región a la que pertenece un bucket de S3, inspecciones las propiedades del bucket en la consola de S3.

2. Agregue secciones de políticas a la clave que permitan cifrar y CloudTrail a los usuarios descifrar los archivos de registro y los archivos de resumen.

   • Para obtener información sobre qué es lo que debe incluir en la política, consulte Configure las políticas AWS KMS clave para CloudTrail.

     aviso

     Asegúrese de incluir permisos de descifrado en la política para todos los usuarios que necesiten leer archivos de registro o archivos de resumen. Si no realiza este paso antes de añadir la clave a la configuración del registro de seguimiento, los usuarios que no dispongan de permisos de descifrado no podrán leer archivos cifrados hasta que les conceda esos permisos.

   • Para obtener más información sobre cómo editar una política con la consola de IAM, consulte Edición de una política de claves en la Guía para desarrolladores AWS Key Management Service .

   • Para obtener información sobre cómo adjuntar una política a una clave de KMS con el AWS CLI, consulte. put-key-policy

3. Actualice el banco de datos de rutas o eventos para usar la clave de KMS cuya política modificó. CloudTrail

   • Para actualizar un banco de datos de senderos o eventos mediante la CloudTrail consola, consulteActualización de un recurso para que utilice su clave de KMS con la consola.

   • Para actualizar un banco de datos de senderos o eventos mediante el AWS CLI, consulteActivación y desactivación del cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS CLI.

CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

En la siguiente sección, se describen las secciones de política con CloudTrail las que debe utilizarse su política de claves de KMS.