Bonnes pratiques de chiffrement pour AWS CloudTrail - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de chiffrement pour AWS CloudTrail

AWS CloudTrail vous aide à vérifier la gouvernance, la conformité et le risque opérationnel de votre Compte AWS.

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

  • CloudTrail les journaux doivent être chiffrés à l'aide d'un système géré par le client AWS KMS key. Choisissez une clé KMS située dans la même région que le compartiment S3 qui reçoit vos fichiers journaux. Pour plus d'informations, veuillez consulter Updating a trail to use your KMS key.

  • Comme couche de sécurité supplémentaire, activez la validation des fichiers journaux pour les journaux de suivi. Cela vous permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Pour obtenir des instructions, consultez la section Activation de la validation de l'intégrité des fichiers journaux pour CloudTrail.

  • Utilisez les points de terminaison VPC de l'interface pour permettre de CloudTrail communiquer avec des ressources situées dans d'autres pays VPCs sans passer par l'Internet public. Pour plus d'informations, veuillez consulter Utilisation d' AWS CloudTrail avec les points de terminaison de VPC d'interface.

  • Ajoutez une clé de aws:SourceArn condition à la politique de clé KMS pour vous assurer que la clé KMS est CloudTrail utilisée uniquement pour un ou plusieurs sentiers spécifiques. Pour plus d'informations, consultez la section Configurer AWS KMS key les politiques pour CloudTrail.

  • Dans AWS Config, implémentez la règle cloud-trail-encryption-enabled AWS gérée pour valider et appliquer le chiffrement des fichiers journaux.

  • S'il CloudTrail est configuré pour envoyer des notifications via les rubriques Amazon Simple Notification Service (Amazon SNS), ajoutez aws:SourceArn une clé de condition (ou aws:SourceAccount facultativement) à la déclaration de politique afin d'empêcher CloudTrail l'accès non autorisé du compte à la rubrique SNS. Pour plus d'informations, consultez la politique relative aux rubriques Amazon SNS pour. CloudTrail

  • Si vous en utilisez AWS Organizations, créez un journal d'organisation qui enregistre tous les événements relatifs Comptes AWS à cette organisation. Cela inclut le compte de gestion et tous les comptes membres de l'organisation. Pour en savoir plus, veuillez consulter Creating a trail for an organization.

  • Créez un suivi qui s'applique à tous les Régions AWS endroits où vous stockez des données d'entreprise, afin Compte AWS d'enregistrer l'activité dans ces régions. Lors du AWS lancement d'une nouvelle région, inclut CloudTrail automatiquement la nouvelle région et enregistre les événements dans cette région.