Chiffrement des fichiers journaux CloudTrail avec des clés AWS KMS (SSE-KMS) - AWS CloudTrail

Chiffrement des fichiers journaux CloudTrail avec des clés AWS KMS (SSE-KMS)

Par défaut, les fichiers journaux livrés par CloudTrail à votre compartiment sont chiffrés par Amazon côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Pour fournir une couche de sécurité qui soit directement gérable, vous pouvez utiliser le chiffrement côté serveur avec des clés AWS KMS (SSE-KMS) pour les fichiers journaux CloudTrail.

Note

L'activation du chiffrement côté serveur chiffre les fichiers journaux, mais pas les fichiers de valeur de hachage avec SSE-KMS. Les fichiers de valeur de hachage sont chiffrés avec des Amazon S3-managed encryption keys (SSE-S3) (clés de chiffrement gérées par Amazon S3 (SSE-S3)).

Si vous utilisez un compartiment S3 existant avec une S3 Bucket Key (Clé de compartiment S3), CloudTrail doit être autorisé dans la politique de clé à utiliser les AWS KMS actions GenerateDataKey et DescribeKey. Si cloudtrail.amazonaws.com ces autorisations relatives à la politique de clé, ne sont pas accordées à il sera impossible de créer ou de mettre à jour un journal d'activité.

Pour utiliser SSE-KMS avec CloudTrail, il convient de créer et gérer une clé KMS, aussi appelée AWS KMS key. Vous attachez une politique à la clé qui détermine quels utilisateurs peuvent utiliser la clé pour chiffrer et déchiffrer les fichiers journaux CloudTrail. Le déchiffrement est transparent via S3. Lorsque les utilisateurs autorisés de la clé lisent les fichiers journaux CloudTrail, S3 gère le déchiffrement et les utilisateurs autorisés sont capables de lire les fichiers journaux sous forme non chiffrée.

Cette méthode offre les avantages suivants :

  • Vous pouvez créer et gérer les clés de chiffrement KMS vous-même.

  • Vous pouvez utiliser une seule clé KMS pour chiffrer et déchiffrer les fichiers journaux de plusieurs comptes dans toutes les régions.

  • Vous pouvez contrôler qui peut utiliser votre clé pour chiffrer et déchiffrer les fichiers journaux CloudTrail. Vous pouvez attribuer des autorisations pour la clé aux utilisateurs de votre organisation selon vos besoins.

  • Vous bénéficiez d'une sécurité renforcée. Grâce à cette fonctionnalité, la lecture des fichiers journaux, requiert les autorisations suivantes :

    • Un utilisateur doit avoir des autorisations de lecture S3 pour le compartiment qui contient les fichiers journaux.

    • Un utilisateur doit également avoir une politique ou un rôle permettant des autorisations de déchiffrement par la politique clé KMS.

  • Puisque S3 déchiffre automatiquement les fichiers journaux de demandes émanant d'utilisateurs autorisés à utiliser la clé KMS, le chiffrement SSE-KMS des fichiers journaux CloudTrail est compatible avec les applications existantes qui lisent les données des journaux CloudTrail.

Note

La clé KMS que vous choisissez doit être créée dans la même région AWS que le compartiment Amazon S3 qui reçoit vos fichiers journaux. Par exemple, si les fichiers journaux vont être stockés dans un compartiment de la région USA Est (Ohio), vous devez créer ou choisir une clé KMS qui a été créée dans cette région. Pour vérifier la région pour un compartiment Amazon S3, examinez ses propriétés dans la console Amazon S3.

Activation du chiffrement de fichier journaux

Note

Si vous créez une clé KMS dans la console CloudTrail, CloudTrail ajoute les sections de politique de clé KMS requises pour vous. Suivez ces procédures si vous avez créé une clé dans la console IAM ou l'AWS CLI et que vous devez ajouter manuellement les sections de politique obligatoires.

Pour activer le chiffrement SSE-KMS pour les fichiers journaux CloudTrail, appliquez la procédure suivante :

  1. Créer une clé KMS.

    • Pour plus d'informations sur la création d'une clé CMK avec AWS Management Console, consultez Création de clés dans le Guide du développeur AWS Key Management Service.

    • Pour plus d'informations sur la création d'une clé KMS avec l'AWS CLI, consultez create-key (création d'une clé).

    Note

    La clé KMS que vous choisissez doit être dans la même région que le compartiment S3 qui reçoit vos fichiers-journaux. Pour vérifier la région pour un compartiment S3, examinez les propriétés du compartiment dans la console S3.

  2. Ajoutez des sections de politique sur la clé qui active CloudTrail pour chiffrer et permettre aux utilisateurs de déchiffrer les fichiers journaux.

    • Pour plus d'informations sur ce qu'il convient d'inclure dans la politique, consultez la page Configuration des politiques de clés AWS KMS pour CloudTrail.

      Avertissement

      Veillez à inclure les autorisations de déchiffrement dans les règles pour tous les utilisateurs qui ont besoin de lire les fichiers journaux. Si vous n'effectuez pas cette étape avant d'ajouter la clé à la configuration de votre journal d'activité, les utilisateurs ne disposant pas d'autorisations de déchiffrement ne peuvent pas lire les fichiers chiffrés jusqu'à ce que vous leur accordiez ces autorisations.

    • Pour plus d'informations sur la modification d'une politique avec la console IAM, consultez Editing a Key Policy (Modification d'une politique de clé) dans le Guide du développeurAWS Key Management Service.

    • Pour plus d'informations sur l'attachement d'une politique à une clé KMS avec la AWS CLI, consultez put-key-policy.

  3. Mettez à jour votre journal d'activité pour qu'il utilise la clé KMS dont vous avez modifié la politique pour CloudTrail.

CloudTrail prend également en charge les Clés multi-régions AWS KMS. Pour de plus amples informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service.

La section suivante décrit les sections de politique dont votre politique de clé KMS a besoin pour fonctionner avec CloudTrail.