Cómo AWS CloudTrail usa AWS KMS

Puede utilizar AWS CloudTrail para registrar las llamadas a la API de AWS y otra actividad de su Cuenta de AWS y para guardar la información registrada en los archivos de registro en un bucket de Amazon Simple Storage Service (Amazon S3) de su elección. De forma predeterminada, los archivos de registro que se CloudTrail colocan en su bucket de S3 se cifran mediante el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3). Pero, en su lugar, puede elegir utilizar el cifrado del lado del servidor una clave KMS (SSE-KMS). Para obtener información sobre cómo cifrar sus archivos de registro, consulte CloudTrail Cifrar archivos de registro con (AWS KMSSSE-KMS) en la Guía del CloudTrail usuario. AWS KMS keys AWS CloudTrail

importante

AWS CloudTrail y Amazon S3 solo admite CMK AWS KMS keys simétricas. No puede usar una clave KMS asimétrica para cifrar sus registros. CloudTrail Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de claves KMS asimétricas.

No paga ningún cargo por el uso de claves cuando CloudTrail lee o escribe archivos de registro cifrados con una clave SSE-KMS. Sin embargo, paga un cargo por el uso de la clave cuando accede a los archivos de CloudTrail registro cifrados con una clave SSE-KMS. Para obtener más información acerca de los precios de AWS KMS, consulte Precios de AWS Key Management Service. Para obtener información sobre CloudTrail los precios, consulte los AWS CloudTrailprecios y la administración de los costos en la Guía del AWS CloudTrailusuario.

Conocer cuándo se usa su clave KMS

El cifrado de archivos de CloudTrail registro AWS KMS se basa en la función de Amazon S3 denominada cifrado del lado del servidor con un AWS KMS key (SSE-KMS). Para obtener más información sobre SSE-KMS, consulte ¿Cómo Amazon Simple Storage Service (Amazon S3) utiliza AWS KMS? en esta guía o Proteger los datos utilizando cifrado del lado del servidor con claves KMS (SSE-KMS) en la Guía del desarrollador de Amazon Simple Storage Service.

Cuando configura AWS CloudTrail el SSE-KMS para cifrar sus archivos de registro y Amazon CloudTrail S3 lo usa AWS KMS keys cuando realiza determinadas acciones con esos servicios. En las secciones siguientes se explica cuándo y cómo dichos servicios pueden utilizar su clave KMS y se proporciona información adicional que puede utilizar para validar esta explicación.

Acciones que provocan CloudTrail que Amazon S3 utilice su clave de KMS

• Se configura CloudTrail para cifrar los archivos de registro con su AWS KMS key
• CloudTrail coloca un archivo de registro en su bucket de S3
• Obtenga un archivo de registro cifrado del bucket de S3

Se configura CloudTrail para cifrar los archivos de registro con su AWS KMS key

Al actualizar la CloudTrail configuración para usar la clave de KMS, CloudTrail envía una GenerateDataKeysolicitud AWS KMS para comprobar que la clave de KMS existe y que CloudTrail tiene permiso para utilizarla con fines de cifrado. CloudTrail no utiliza la clave de datos resultante.

La solicitud GenerateDataKey incluye la siguiente información para el contexto de cifrado:

• El nombre del recurso de Amazon (ARN) de la ruta CloudTrail

• El ARN del depósito S3 y la ruta donde se entregan los archivos de CloudTrail registro

La GenerateDataKey solicitud da como resultado una entrada en CloudTrail los registros similar a la del siguiente ejemplo. Cuando veas una entrada de registro como esta, podrás determinar que CloudTrail ( ) ha llamado a la GenerateDataKey operación AWS KMS ( ) ( ) para una ruta ( ) específica. AWS KMScreó la clave de datos con una clave KMS específica ( ).

nota

Es posible que tenga que desplazarse a la parte derecha para ver algunas de las llamadas en la siguiente entrada de registro de ejemplo.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail",
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "userName": "AWSCloudTrail",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T21:15:33Z"
    }},
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:33Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAliasForCloudTrailKMS key",
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/"
    },
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "581f1f11-88b9-11e5-9c9c-595a1fb59ac0",
  "eventID": "3cdb2457-c035-4890-93b6-181832b9e766",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

CloudTrail coloca un archivo de registro en su bucket de S3

Cada vez que CloudTrail coloca un archivo de registro en su bucket de S3, Amazon S3 envía una GenerateDataKeysolicitud AWS KMS en su nombre CloudTrail. En respuesta a esta solicitud, AWS KMS genera una clave de datos única y, a continuación, envía a Amazon S3 dos copias de la clave de datos, una en texto no cifrado y otra cifrada con la clave KMS especificada. Amazon S3 utiliza la clave de datos de texto sin formato para cifrar el archivo de CloudTrail registro y, a continuación, elimina la clave de datos de texto sin formato de la memoria tan pronto como sea posible tras su uso. Amazon S3 almacena la clave de datos cifrados como metadatos con el archivo de CloudTrail registro cifrado.

La solicitud GenerateDataKey incluye la siguiente información para el contexto de cifrado:

• El nombre del recurso de Amazon (ARN) de la ruta CloudTrail

• El ARN del objeto S3 (el archivo de CloudTrail registro)

Cada GenerateDataKey solicitud da como resultado una entrada en CloudTrail los registros similar a la del siguiente ejemplo. Cuando veas una entrada de registro como esta, podrás determinar que CloudTrail ( ) ha llamado a la GenerateDataKey operación AWS KMS ( ) ( ) para una ruta ( ) específica para proteger un archivo de registro específico ( ). AWS KMScreó la clave de datos con la clave KMS especificada ( ), que se muestra dos veces en la misma entrada de registro.

nota

Es posible que tenga que desplazarse a la parte derecha para ver algunas de las llamadas en la siguiente entrada de registro de ejemplo.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85",
    "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85",
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-11-11T20:45:25Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::086441151436:role/AWSCloudTrail",
        "accountId": "086441151436",
        "userName": "AWSCloudTrail"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:58Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"
    },
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "66f3f74a-88b9-11e5-b7fb-63d925c72ffe",
  "eventID": "7738554f-92ab-4e27-83e3-03354b1aa898",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

Obtenga un archivo de registro cifrado del bucket de S3

Cada vez que obtiene un archivo de CloudTrail registro cifrado de su bucket de S3, Amazon S3 envía una Decryptsolicitud AWS KMS en su nombre para descifrar la clave de datos cifrados del archivo de registro. Como respuesta a esta solicitud, AWS KMS utiliza su clave KMS para descifrar la clave de datos y, a continuación, envía la clave de datos en texto no cifrado a Amazon S3. Amazon S3 utiliza la clave de datos de texto sin formato para descifrar el archivo de CloudTrail registro y, a continuación, elimina la clave de datos de texto sin formato de la memoria tan pronto como sea posible tras su uso.

La solicitud Decrypt incluye la siguiente información para el contexto de cifrado:

• El nombre del recurso de Amazon (ARN) de la ruta CloudTrail

• El ARN del objeto S3 (el archivo de CloudTrail registro)

Cada Decrypt solicitud da como resultado una entrada en CloudTrail los registros similar a la del siguiente ejemplo. Cuando aparece una entrada de registro como esta, se puede determinar que un usuario en su cuenta de Cuenta de AWS ( ) ha llamado a la operación de AWS KMS ( ) Decrypt ( ) para un registro de seguimiento específico ( ) y un archivo de registro específico ( ). AWS KMS ha descifrado la clave de datos con una clave KMS específica ( ).

nota

Es posible que tenga que desplazarse a la parte derecha para ver algunas de las llamadas en la siguiente entrada de registro de ejemplo.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "userName": "cloudtrail-admin",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T20:48:04Z"
    }},
    "invokedBy": "signin.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:20:52Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"
    }
  },
  "responseElements": null,
  "requestID": "16a0590a-88ba-11e5-b406-436f15c3ac01",
  "eventID": "9525bee7-5145-42b0-bed5-ab7196a16daa",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}