Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment AWS CloudTrail utilise AWS KMS
Vous pouvez l'utiliser AWS CloudTrail pour enregistrer des AWS API appels et d'autres activités pour votre compte Compte AWS et pour enregistrer les informations enregistrées dans des fichiers journaux dans un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix. Par défaut, les fichiers journaux placés dans votre compartiment S3 sont chiffrés à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (-S3). CloudTrail SSE Mais vous pouvez choisir d'utiliser plutôt le chiffrement côté serveur avec une KMS clé (SSE-KMS). Pour savoir comment chiffrer vos fichiers CloudTrail journaux avec AWS KMS, consultez la section Chiffrer les fichiers CloudTrail journaux avec AWS KMS keys (SSE-KMS) dans le guide de l'AWS CloudTrail utilisateur.
Important
AWS CloudTrail et Amazon S3 ne prend en charge que la symétrie AWS KMS keys. Vous ne pouvez pas utiliser de KMSclé asymétrique pour chiffrer vos CloudTrail journaux. Pour savoir si une KMS clé est symétrique ou asymétrique, consultez. Identifier les différents types de clés
Vous ne payez pas de frais d'utilisation des clés lorsque CloudTrail vous lisez ou écrivez des fichiers journaux chiffrés avec une KMS clé SSE -. Toutefois, vous payez des frais d'utilisation des clés lorsque vous accédez à des fichiers CloudTrail journaux chiffrés avec une KMS clé SSE -. Pour plus d'informations sur la AWS KMS tarification, consultez la section AWS Key Management Service Tarification
Comprendre quand votre KMS clé est utilisée
Chiffrement des fichiers CloudTrail journaux à l'aide de AWS KMS versions basées sur la fonctionnalité Amazon S3 appelée chiffrement côté serveur avec un AWS KMS key (SSE-). KMS Pour en savoir plus sur SSE -KMS, consultez la section Protection des données à l'aide du chiffrement côté serveur à l'aide de KMS clés (SSE-KMS) dans le guide de l'utilisateur d'Amazon Simple Storage Service.
Lorsque vous configurez AWS CloudTrail pour utiliser SSE - KMS pour chiffrer vos fichiers journaux, Amazon S3 utilise CloudTrail les vôtres AWS KMS keys lorsque vous effectuez certaines actions avec ces services. Les sections suivantes expliquent quand et comment ces services peuvent utiliser votre KMS clé, et fournissent des informations supplémentaires que vous pouvez utiliser pour valider cette explication.
Actions entraînant l'utilisation CloudTrail de votre KMS clé par Amazon S3
Vous configurez CloudTrail pour crypter les fichiers journaux avec votre AWS KMS key
Lorsque vous mettez à jour votre CloudTrail configuration pour utiliser votre KMS clé, CloudTrail envoie une GenerateDataKey
demande AWS KMS pour vérifier que la KMS clé existe et que CloudTrail vous êtes autorisé à l'utiliser pour le chiffrement. CloudTrail n'utilise pas la clé de données obtenue.
La demande GenerateDataKey
inclut les informations suivantes pour le contexte de chiffrement :
-
Le nom de la ressource Amazon (ARN) du CloudTrail parcours
-
Nom ARN du compartiment S3 et chemin où les fichiers CloudTrail journaux sont livrés
La GenerateDataKey
demande entraîne une entrée dans vos CloudTrail journaux, comme dans l'exemple suivant. Lorsque vous voyez une entrée de journal comme celle-ci, vous pouvez déterminer que CloudTrail (
) a appelé l' AWS KMS GenerateDataKey
opération (
) pour un suivi spécifique (
).
AWS KMS a créé la clé de données sous une KMS clé spécifique (
).
Note
Vous devrez peut-être faire défiler l'affichage vers la droite pour voir certaines des alertes dans l'exemple suivant d'entrée de journal.
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail", "accountId": "086441151436", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "AWSCloudTrail", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2015-11-11T21:15:33Z" }}, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-11-11T21:15:33Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAliasForCloudTrailKMS key", "encryptionContext": { "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default", "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/" }, "keySpec": "AES_256" }, "responseElements": null, "requestID": "581f1f11-88b9-11e5-9c9c-595a1fb59ac0", "eventID": "3cdb2457-c035-4890-93b6-181832b9e766", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333" }
CloudTrail place un fichier journal dans votre compartiment S3
Chaque fois CloudTrail qu'un fichier journal est placé dans votre compartiment S3, Amazon S3 envoie une GenerateDataKey
demande AWS KMS au nom de CloudTrail. En réponse à cette demande, AWS KMS génère une clé de données unique, puis envoie à Amazon S3 deux copies de la clé de données, l'une en texte brut et l'autre chiffrée avec la KMS clé spécifiée. Amazon S3 utilise la clé de données en texte brut pour chiffrer le fichier CloudTrail journal, puis la supprime de la mémoire dès que possible après utilisation. Amazon S3 stocke la clé de données chiffrée sous forme de métadonnées dans le fichier CloudTrail journal chiffré.
La demande GenerateDataKey
inclut les informations suivantes pour le contexte de chiffrement :
-
Le nom de la ressource Amazon (ARN) du CloudTrail parcours
-
Le ARN de l'objet S3 (le fichier CloudTrail journal)
Chaque GenerateDataKey
demande entraîne une entrée dans vos CloudTrail journaux, comme dans l'exemple suivant. Lorsque vous voyez une entrée de journal comme celle-ci, vous pouvez déterminer que CloudTrail (
) a appelé l' AWS KMS GenerateDataKey
opération (
) pour un suivi spécifique (
) afin de protéger un fichier journal spécifique (
).
AWS KMS a créé la clé de données sous la KMS clé spécifiée (
), affichée deux fois dans la même entrée de journal.
Note
Vous devrez peut-être faire défiler l'affichage vers la droite pour voir certaines des alertes dans l'exemple suivant d'entrée de journal.
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85", "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85", "accountId": "086441151436", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-11-11T20:45:25Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::086441151436:role/AWSCloudTrail", "accountId": "086441151436", "userName": "AWSCloudTrail" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-11-11T21:15:58Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default", "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz" }, "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "keySpec": "AES_256" }, "responseElements": null, "requestID": "66f3f74a-88b9-11e5-b7fb-63d925c72ffe", "eventID": "7738554f-92ab-4e27-83e3-03354b1aa898", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333" }
Vous obtenez un fichier journal chiffré à partir de votre compartiment S3
Chaque fois que vous recevez un fichier CloudTrail journal chiffré depuis votre compartiment S3, Amazon S3 envoie une Decrypt
demande à en votre AWS KMS nom pour déchiffrer la clé de données chiffrée du fichier journal. En réponse à cette demande, AWS KMS utilise votre KMS clé pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à Amazon S3. Amazon S3 utilise la clé de données en texte brut pour déchiffrer le fichier CloudTrail journal, puis la supprime de la mémoire dès que possible après utilisation.
La demande Decrypt
inclut les informations suivantes pour le contexte de chiffrement :
-
Le nom de la ressource Amazon (ARN) du CloudTrail parcours
-
Le ARN de l'objet S3 (le fichier CloudTrail journal)
Chaque Decrypt
demande entraîne une entrée dans vos CloudTrail journaux, comme dans l'exemple suivant. Lorsque vous voyez une entrée de journal comme celle-ci, vous pouvez déterminer qu'un utilisateur de votre Compte AWS (
) a appelé l' AWS KMS Decrypt
opération (
) pour un journal spécifique (
) et un fichier journal spécifiques (
).
AWS KMS a déchiffré la clé de données sous une KMS clé spécifique ().
Note
Vous devrez peut-être faire défiler l'affichage vers la droite pour voir certaines des alertes dans l'exemple suivant d'entrée de journal.
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "cloudtrail-admin", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2015-11-11T20:48:04Z" }}, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2015-11-11T21:20:52Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": { "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default", "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz" } }, "responseElements": null, "requestID": "16a0590a-88ba-11e5-b406-436f15c3ac01", "eventID": "9525bee7-5145-42b0-bed5-ab7196a16daa", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }