AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS - AWS Systems Manager Guide de référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS

Description

Le AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS runbook chiffre une trace AWS CloudTrail (CloudTrail) à l'aide de la clé gérée par le client AWS Key Management Service (AWS KMS) que vous spécifiez. Ce runbook ne doit être utilisé que comme base de référence pour garantir que vos CloudTrail traces sont cryptées conformément aux meilleures pratiques de sécurité minimales recommandées. Nous vous recommandons de crypter plusieurs pistes avec différentes clés KMS. CloudTrailles fichiers de résumé ne sont pas chiffrés. Si vous avez déjà défini le EnableLogFileValidation paramètre sur « true Pour le suivi », consultez la section « Utiliser le chiffrement côté serveur avec des clés AWS KMS gérées » de la rubrique Meilleures pratiques de sécurité CloudTrail préventive du Guide de l'AWS CloudTrailutilisateur pour plus d'informations.

Exécutez cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.

  • KMS KeyId

    Type : String

    Description : (Obligatoire) L'ARN, l'ID de clé ou l'alias de clé de la clé gérée par le client que vous souhaitez utiliser pour chiffrer le journal que vous spécifiez dans le TrailName paramètre.

  • TrailName

    Type : String

    Description : (Obligatoire) L'ARN ou le nom du journal que vous souhaitez mettre à jour pour qu'il soit chiffré.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • cloudtrail:GetTrail

  • cloudtrail:UpdateTrail

Étapes de document

  • aws:executeAwsApi- Active le chiffrement sur la piste que vous spécifiez dans le TrailName paramètre.

  • aws:executeAwsApi- Rassemble l'ARN de la clé gérée par le client que vous spécifiez dans le KMSKeyId paramètre.

  • aws:assertAwsResourceProperty- Vérifie que le chiffrement a été activé sur la CloudTrail piste.