Chiffrement des fichiers CloudTrail journaux à l'aide de AWS KMS clés (SSE-KMS) - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des fichiers CloudTrail journaux à l'aide de AWS KMS clés (SSE-KMS)

Par défaut, les fichiers journaux fournis par votre compartiment sont chiffrés CloudTrail à l'aide d'un chiffrement côté serveur avec une clé KMS (SSE-KMS). Si vous n'activez pas le chiffrement SSE-KMS, vos journaux sont chiffrés à l'aide du chiffrement SSE-S3.

Note

L'activation du chiffrement côté serveur chiffre les fichiers journaux, mais pas les fichiers de valeur de hachage avec SSE-KMS. Les fichiers de valeur de hachage sont chiffrés avec des Amazon S3-managed encryption keys (SSE-S3) (clés de chiffrement gérées par Amazon S3 (SSE-S3)).

Si vous utilisez un compartiment S3 existant avec une clé de compartiment S3, vous CloudTrail devez être autorisé dans la politique des clés à utiliser les AWS KMS actions GenerateDataKey etDescribeKey. Si cloudtrail.amazonaws.com n'est pas accordé ces autorisations dans la politique de clé, vous ne pouvez pas créer ou mettre à jour un journal de suivi.

Pour utiliser SSE-KMS avec CloudTrail, vous devez créer et gérer une clé KMS, également appelée. AWS KMS key Vous attachez une politique à la clé qui détermine quels utilisateurs peuvent utiliser la clé pour chiffrer et déchiffrer CloudTrail les fichiers journaux. Le déchiffrement est transparent via S3. Lorsque les utilisateurs autorisés de la clé lisent les fichiers CloudTrail journaux, S3 gère le déchiffrement et les utilisateurs autorisés peuvent lire les fichiers journaux sous forme non chiffrée.

Cette méthode offre les avantages suivants :

  • Vous pouvez créer et gérer les clés de chiffrement KMS vous-même.

  • Vous pouvez utiliser une seule clé KMS pour chiffrer et déchiffrer les fichiers journaux de plusieurs comptes dans toutes les régions.

  • Vous pouvez contrôler qui peut utiliser votre clé pour chiffrer et déchiffrer CloudTrail les fichiers journaux. Vous pouvez attribuer des autorisations pour la clé aux utilisateurs de votre organisation selon vos besoins.

  • Vous bénéficiez d'une sécurité renforcée. Grâce à cette fonctionnalité, la lecture des fichiers journaux, requiert les autorisations suivantes :

    • Un utilisateur doit avoir des autorisations de lecture S3 pour le compartiment qui contient les fichiers journaux.

    • Un utilisateur doit également avoir une politique ou un rôle permettant des autorisations de déchiffrement par la politique clé KMS.

  • Comme S3 déchiffre automatiquement les fichiers journaux pour les demandes des utilisateurs autorisés à utiliser la clé KMS, le chiffrement SSE-KMS des fichiers CloudTrail journaux est rétrocompatible avec les applications qui lisent les données des journaux. CloudTrail

Note

La clé KMS que vous choisissez doit être créée dans la même AWS région que le compartiment Amazon S3 qui reçoit vos fichiers journaux. Par exemple, si les fichiers journaux vont être stockés dans un compartiment de la région USA Est (Ohio), vous devez créer ou choisir une clé KMS qui a été créée dans cette région. Pour vérifier la région pour un compartiment Amazon S3, examinez ses propriétés dans la console Amazon S3.

Activation du chiffrement de fichier journaux

Note

Si vous créez une clé KMS dans la CloudTrail console, CloudTrail ajoute les sections de politique de clé KMS requises pour vous. Suivez ces procédures si vous avez créé une clé dans la console IAM ou AWS CLI si vous devez ajouter manuellement les sections de stratégie requises.

Pour activer le chiffrement SSE-KMS pour les fichiers CloudTrail journaux, effectuez les étapes de haut niveau suivantes :

  1. Créer une clé KMS.

    • Pour plus d'informations sur la création d'une clé KMS avec le AWS Management Console, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

    • Pour plus d'informations sur la création d'une clé KMS avec le AWS CLI, voir create-key.

    Note

    La clé KMS que vous choisissez doit être dans la même région que le compartiment S3 qui reçoit vos fichiers-journaux. Pour vérifier la région pour un compartiment S3, examinez les propriétés du compartiment dans la console S3.

  2. Ajoutez des sections de politique à la clé qui permettent CloudTrail de chiffrer les fichiers journaux et aux utilisateurs de les déchiffrer.

    • Pour plus d'informations sur ce qu'il convient d'inclure dans la politique, consultez la page Configuration des politiques de clés AWS KMS pour CloudTrail.

      Avertissement

      Veillez à inclure les autorisations de déchiffrement dans les règles pour tous les utilisateurs qui ont besoin de lire les fichiers journaux. Si vous n'effectuez pas cette étape avant d'ajouter la clé à la configuration de votre journal d'activité, les utilisateurs ne disposant pas d'autorisations de déchiffrement ne peuvent pas lire les fichiers chiffrés jusqu'à ce que vous leur accordiez ces autorisations.

    • Pour plus d'informations sur la modification d'une politique avec la console IAM, consultez Editing a Key Policy (Modification d'une politique de clé) dans le Guide du développeur AWS Key Management Service .

    • Pour plus d'informations sur l'attachement d'une politique à une clé KMS à l'aide du AWS CLI, consultez put-key-policy.

  3. Mettez à jour votre historique pour utiliser la clé KMS pour laquelle vous avez modifié la politique CloudTrail.

CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .

La section suivante décrit les sections de politique avec lesquelles votre politique de clé KMS doit être utilisée CloudTrail.