Chiffrement des fichiers CloudTrail journaux avecAWS KMS des clés (SSE-KMS)

Par défaut, les fichiers journaux livrés par CloudTrail votre compartiment sont chiffrés par Amazon côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Pour fournir une couche de sécurité qui soit directement gérable, vous pouvez utiliser le chiffrement côté serveur avec desAWS KMS clés (SSE-KMS) pour les fichiers CloudTrail journaux.

Note

L'activation du chiffrement côté serveur chiffre les fichiers journaux, mais pas les fichiers de valeur de hachage avec SSE-KMS. Les fichiers de valeur de hachage sont chiffrés avec des Amazon S3-managed encryption keys (SSE-S3) (clés de chiffrement gérées par Amazon S3 (SSE-S3)).

Si vous utilisez un compartiment S3 existant avec une clé de compartiment S3, la politique de clé CloudTrail doit être autorisée à utiliser lesAWS KMS actionsGenerateDataKey etDescribeKey. Si cloudtrail.amazonaws.com n'est pas accordé ces autorisations dans la politique de clé, vous ne pouvez pas créer ou mettre à jour un journal de suivi.

Pour utiliser SSE-KMS avec CloudTrail, créez et gérez une clé KMS, aussi appelée AWS KMS key. Vous attachez une politique à la clé qui détermine quels utilisateurs peuvent utiliser la clé pour chiffrer et déchiffrer les fichiers CloudTrail journaux. Le déchiffrement est transparent via S3. Lorsque les utilisateurs autorisés de la clé lisent les fichiers CloudTrail journaux, S3 gère le déchiffrement et les utilisateurs autorisés sont capables de lire les fichiers journaux sous forme non chiffrée.

Cette méthode offre les avantages suivants :

• Vous pouvez créer et gérer les clés de chiffrement KMS vous-même.

• Vous pouvez utiliser une seule clé KMS pour chiffrer et déchiffrer les fichiers journaux de plusieurs comptes dans toutes les régions.

• Vous pouvez contrôler qui peut utiliser votre clé pour chiffrer et déchiffrer les fichiers CloudTrail journaux. Vous pouvez attribuer des autorisations pour la clé aux utilisateurs de votre organisation selon vos besoins.

• Vous bénéficiez d'une sécurité renforcée. Grâce à cette fonctionnalité, la lecture des fichiers journaux, requiert les autorisations suivantes :

  • Un utilisateur doit avoir des autorisations de lecture S3 pour le compartiment qui contient les fichiers journaux.

  • Un utilisateur doit également avoir une politique ou un rôle permettant des autorisations de déchiffrement par la politique clé KMS.

• Puisque S3 déchiffre automatiquement les fichiers journaux de demandes émanant d'utilisateurs autorisés à utiliser la clé KMS, le chiffrement SSE-KMS des fichiers CloudTrail journaux est compatible avec les applications existantes qui lisent les données des CloudTrail journaux.

Note

La clé KMS que vous choisissez doit être créée dans la même région AWS que le compartiment Amazon S3 qui reçoit vos fichiers journaux. Par exemple, si les fichiers journaux vont être stockés dans un compartiment de la région USA Est (Ohio), vous devez créer ou choisir une clé KMS qui a été créée dans cette région. Pour vérifier la région pour un compartiment Amazon S3, examinez ses propriétés dans la console Amazon S3.

Activation du chiffrement de fichier journaux

Note

Si vous créez une clé KMS dans la CloudTrail console, CloudTrail ajoute les sections de politique de clé KMS requises pour vous. Suivez ces procédures si vous avez créé une clé dans la console IAM ou l'AWS CLI et que vous devez ajouter manuellement les sections de politique obligatoires.

Pour activer le chiffrement SSE-KMS pour les fichiers CloudTrail journaux, appliquez la procédure suivante :

1. Créer une clé KMS.

   • Pour plus d'informations sur la création d'une clé CMK avec AWS Management Console, consultez Création de clés dans le Guide du développeur AWS Key Management Service.

   • Pour plus d'informations sur la création d'une clé KMS avec l'AWS CLI, consultez create-key (création d'une clé).

   Note

   La clé KMS que vous choisissez doit être dans la même région que le compartiment S3 qui reçoit vos fichiers-journaux. Pour vérifier la région pour un compartiment S3, examinez les propriétés du compartiment dans la console S3.

2. Ajoutez des sections de politique sur la clé qui active le CloudTrail chiffrement et la possibilité pour les utilisateurs de déchiffrer les fichiers journaux.

   • Pour plus d'informations sur ce qu'il convient d'inclure dans la politique, consultez la page Configurez les politiquesAWS KMS clés pour CloudTrail.

     Avertissement

     Veillez à inclure les autorisations de déchiffrement dans les règles pour tous les utilisateurs qui ont besoin de lire les fichiers journaux. Si vous n'effectuez pas cette étape avant d'ajouter la clé à la configuration de votre journal d'activité, les utilisateurs ne disposant pas d'autorisations de déchiffrement ne peuvent pas lire les fichiers chiffrés jusqu'à ce que vous leur accordiez ces autorisations.

   • Pour plus d'informations sur la modification d'une politique avec la console IAM, consultez Editing a Key Policy (Modification d'une politique de clé) dans le Guide du développeurAWS Key Management Service.

   • Pour plus d'informations sur l'attachement d'une politique à une clé KMS avec laAWS CLI, consultez put-key-policy.

3. Mettez à jour votre journal d'activité pour qu'il utilise la clé KMS dont vous avez modifié la politique CloudTrail.

   • Pour mettre à jour la configuration de votre parcours à l'aide de la CloudTrail console, consultezMise à jour d'une ressource pour qu'elle utilise votre clé KMS.

   • Pour mettre à jour votre configuration de journal d'activité à l'aide de la AWS CLI, consultez Activer et désactiver le chiffrement de fichiers CloudTrail journaux avec l'AWS CLI.

CloudTrail prend également en charge les ClésAWS KMS multi-régions. Pour plus d'informations, consultez la section Using multi-Region keys (Utilisation de clés multi-régions) dans le Guide du développeur AWS Key Management Service.

La section suivante décrit les sections de politique dont votre politique de clé KMS a besoin pour fonctionner CloudTrail.