Prácticas recomendadas de cifrado para AWS CloudTrail - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de cifrado para AWS CloudTrail

AWS CloudTrail lo ayuda a auditar el control, la conformidad, el funcionamiento y el análisis de su Cuenta de AWS.

Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:

  • CloudTrail los registros deben cifrarse mediante un sistema gestionado por el cliente AWS KMS key. Elija una clave de KMS que esté en la misma región que el bucket de S3 que recibe sus archivos de registros. A fin de obtener más información, consulte Actualización de un registro de seguimiento para utilizar la clave de KMS.

  • Como capa de seguridad adicional, habilite la validación de los archivos de registro para los registros de seguimiento. Esto le ayuda a determinar si un archivo de registro se modificó, eliminó o no se modificó después de CloudTrail entregarlo. Para obtener instrucciones, consulte Habilitar la validación de la integridad del archivo de registro para CloudTrail.

  • Utilice los puntos finales de la interfaz de VPC CloudTrail para poder comunicarse con los recursos de otros VPCs sin tener que atravesar la Internet pública. Para obtener más información, consulte Uso de AWS CloudTrail con puntos de conexión de VPC de interfaz.

  • Agregue una clave de aws:SourceArn condición a la política de claves de KMS para asegurarse de que CloudTrail utilice la clave de KMS solo para una o varias rutas específicas. Para obtener más información, consulte Configurar AWS KMS key políticas para CloudTrail.

  • En AWS Config, implemente la regla cloud-trail-encryption-enabled AWS administrada para validar y aplicar el cifrado de los archivos de registro.

  • Si CloudTrail está configurado para enviar notificaciones a través de temas del Amazon Simple Notification Service (Amazon SNS), añada aws:SourceArn una clave de condición (u aws:SourceAccount opcionalmente) a la declaración de política para evitar CloudTrail el acceso no autorizado de la cuenta al tema de SNS. Para obtener más información, consulte la política temática de Amazon SNS para. CloudTrail

  • Si lo está utilizando AWS Organizations, cree un registro de la organización que registre todos los eventos Cuentas de AWS de esa organización. Esto incluye la cuenta de administración y todas las cuentas de los miembros de la organización. A fin de obtener más información, consulte Creación de un registro de seguimiento para una organización.

  • Cree un registro que se aplique a todos los Regiones de AWS lugares donde almacene los datos corporativos para registrar Cuenta de AWS la actividad en esas regiones. Al AWS lanzar una nueva región, incluye CloudTrail automáticamente la nueva región y registra los eventos en esa región.