Mengenkripsi file CloudTrail log dengan AWS KMS kunci (SSE-) KMS

Secara default, file log yang dikirimkan CloudTrail ke bucket Anda dienkripsi dengan menggunakan enkripsi sisi server dengan kunci (-). KMS SSE KMS Jika Anda tidak mengaktifkan SSE - KMS enkripsi, log Anda dienkripsi menggunakan enkripsi SSE-S3.

catatan

Mengaktifkan enkripsi sisi server mengenkripsi file log tetapi bukan file intisari dengan -. SSE KMS File Digest dienkripsi dengan kunci enkripsi yang dikelola Amazon S3 (-S3). SSE

Jika Anda menggunakan bucket S3 yang sudah ada dengan Kunci bucket S3, izin CloudTrail harus diizinkan dalam kebijakan kunci untuk menggunakan AWS KMS tindakan GenerateDataKey dan. DescribeKey Jika izin cloudtrail.amazonaws.com tersebut tidak diberikan dalam kebijakan utama, Anda tidak dapat membuat atau memperbarui jejak.

Untuk menggunakan SSE - KMS dengan CloudTrail, Anda membuat dan mengelola KMS kunci, juga dikenal sebagai kunci AWS KMS key. Anda melampirkan kebijakan ke kunci yang menentukan pengguna mana yang dapat menggunakan kunci untuk mengenkripsi dan mendekripsi CloudTrail file log. Dekripsi mulus melalui S3. Ketika pengguna resmi dari kunci membaca file CloudTrail log, S3 mengelola dekripsi, dan pengguna yang berwenang dapat membaca file log dalam bentuk yang tidak terenkripsi.

Pendekatan ini memiliki keuntungan sebagai berikut:

Anda dapat membuat dan mengelola KMS kunci enkripsi kunci sendiri.
Anda dapat menggunakan satu KMS kunci untuk mengenkripsi dan mendekripsi file log untuk beberapa akun di semua Wilayah.
Anda memiliki kendali atas siapa yang dapat menggunakan kunci Anda untuk mengenkripsi dan mendekripsi CloudTrail file log. Anda dapat menetapkan izin untuk kunci kepada pengguna di organisasi Anda sesuai dengan kebutuhan Anda.
Anda telah meningkatkan keamanan. Dengan fitur ini, untuk membaca file log, izin berikut diperlukan:
- Pengguna harus memiliki izin baca S3 untuk bucket yang berisi file log.
- Pengguna juga harus memiliki kebijakan atau peran yang diterapkan yang memungkinkan izin dekripsi oleh kebijakan utamaKMS.
Karena S3 secara otomatis mendekripsi file log untuk permintaan dari pengguna yang berwenang untuk menggunakan KMS kunci, SSE - KMS enkripsi untuk file CloudTrail log kompatibel dengan aplikasi yang membaca data log. CloudTrail

catatan

KMSKunci yang Anda pilih harus dibuat di AWS Wilayah yang sama dengan bucket Amazon S3 yang menerima file log Anda. Misalnya, jika file log akan disimpan dalam bucket di Wilayah AS Timur (Ohio), Anda harus membuat atau memilih KMS kunci yang dibuat di Wilayah tersebut. Untuk memverifikasi Wilayah untuk bucket Amazon S3, periksa propertinya di konsol Amazon S3.

Mengaktifkan enkripsi file log

catatan

Jika Anda membuat KMS kunci di CloudTrail konsol, CloudTrail tambahkan bagian kebijakan KMS kunci yang diperlukan untuk Anda. Ikuti prosedur ini jika Anda membuat kunci di IAM konsol atau AWS CLI dan Anda perlu menambahkan bagian kebijakan yang diperlukan secara manual.

Untuk mengaktifkan SSE - KMS enkripsi untuk file CloudTrail log, lakukan langkah-langkah tingkat tinggi berikut:

Buat kunci KMS.
- Untuk informasi tentang membuat KMS kunci dengan AWS Management Console, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.
- Untuk informasi tentang membuat KMS kunci dengan AWS CLI, lihat create-key.
catatan
KMSKunci yang Anda pilih harus berada di Wilayah yang sama dengan bucket S3 yang menerima file log Anda. Untuk memverifikasi Region untuk bucket S3, periksa properti bucket di konsol S3.
Tambahkan bagian kebijakan ke kunci yang memungkinkan CloudTrail untuk mengenkripsi dan pengguna untuk mendekripsi file log.
- Untuk informasi tentang apa yang harus disertakan dalam kebijakan, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.
  
  Awas
  Pastikan untuk menyertakan izin dekripsi dalam kebijakan untuk semua pengguna yang perlu membaca file log. Jika Anda tidak melakukan langkah ini sebelum menambahkan kunci ke konfigurasi jejak Anda, pengguna tanpa izin dekripsi tidak dapat membaca file terenkripsi sampai Anda memberi mereka izin tersebut.
- Untuk informasi tentang mengedit kebijakan dengan IAM konsol, lihat Mengedit Kebijakan Kunci di Panduan AWS Key Management Service Pengembang.
- Untuk informasi tentang melampirkan kebijakan ke KMS kunci dengan AWS CLI, lihat put-key-policy.
Perbarui jejak Anda untuk menggunakan KMS kunci yang kebijakannya Anda modifikasi CloudTrail.
- Untuk memperbarui konfigurasi jejak Anda menggunakan CloudTrail konsol, lihatMemperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol.
- Untuk memperbarui konfigurasi jejak Anda dengan menggunakan AWS CLI, lihatMengaktifkan dan menonaktifkan enkripsi file CloudTrail log dengan AWS CLI.

CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

Bagian selanjutnya menjelaskan bagian kebijakan yang diperlukan oleh kebijakan KMS utama Anda untuk digunakan CloudTrail.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik terbaik keamanan

Memberikan izin untuk membuat kunci KMS