Bagaimana AWS CloudTrail menggunakan AWS KMS

Anda dapat menggunakan AWS CloudTrail untuk merekam AWS API panggilan dan aktivitas lain untuk Anda Akun AWS dan menyimpan informasi yang direkam untuk mencatat file di bucket Amazon Simple Storage Service (Amazon S3) yang Anda pilih. Secara default, file log yang CloudTrail dimasukkan ke dalam bucket S3 Anda dienkripsi menggunakan enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (-S3). SSE Tetapi Anda dapat memilih untuk menggunakan enkripsi sisi server dengan KMS kunci (SSE-). KMS Untuk mempelajari cara mengenkripsi file CloudTrail log Anda AWS KMS, lihat Mengenkripsi File CloudTrail Log dengan AWS KMS keys (SSE-KMS) di Panduan Pengguna.AWS CloudTrail

penting

AWS CloudTrail dan Amazon S3 hanya mendukung simetris. AWS KMS keys Anda tidak dapat menggunakan KMSkunci asimetris untuk mengenkripsi Log Anda CloudTrail . Untuk bantuan menentukan apakah KMS kunci simetris atau asimetris, lihat. Mengidentifikasi kunci KMS asimetris

Anda tidak membayar biaya penggunaan kunci saat CloudTrail membaca atau menulis file log yang dienkripsi dengan kunci SSE -KMS. Namun, Anda membayar biaya penggunaan kunci saat mengakses file CloudTrail log yang dienkripsi dengan kunci SSE -KMS. Untuk informasi tentang AWS KMS harga, lihat AWS Key Management Service Harga. Untuk informasi tentang CloudTrail harga, lihat AWS CloudTrail harga dan Mengelola biaya di Panduan AWS CloudTrail Pengguna.

Topik

Memahami kapan KMS kunci Anda digunakan

Memahami kapan KMS kunci Anda digunakan

Mengenkripsi file CloudTrail log dengan AWS KMS build pada fitur Amazon S3 yang disebut enkripsi sisi server dengan (-). AWS KMS key SSE KMS Untuk mempelajari lebih lanjut tentang SSE -KMS, lihat Bagaimana Amazon Simple Storage Service (Amazon S3) menggunakan AWS KMS di panduan ini atau Melindungi data menggunakan enkripsi sisi server dengan KMS kunci (SSE-KMS) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Ketika Anda mengonfigurasi AWS CloudTrail untuk menggunakan SSE - KMS untuk mengenkripsi file log Anda, CloudTrail dan Amazon S3 menggunakan AWS KMS keys Anda ketika Anda melakukan tindakan tertentu dengan layanan tersebut. Bagian berikut menjelaskan kapan dan bagaimana layanan tersebut dapat menggunakan KMS kunci Anda, dan memberikan informasi tambahan yang dapat Anda gunakan untuk memvalidasi penjelasan ini.

Tindakan yang menyebabkan CloudTrail dan Amazon S3 menggunakan kunci Anda KMS

Anda mengonfigurasi CloudTrail untuk mengenkripsi file log dengan AWS KMS key

Saat Anda memperbarui CloudTrail konfigurasi untuk menggunakan KMS kunci Anda, CloudTrail kirimkan GenerateDataKeypermintaan AWS KMS untuk memverifikasi bahwa KMS kunci itu ada dan yang CloudTrail memiliki izin untuk menggunakannya untuk enkripsi. CloudTrail tidak menggunakan kunci data yang dihasilkan.

Permintaan GenerateDataKey tersebut mencakup informasi berikut untuk konteks enkripsi:

Nama Sumber Daya Amazon (ARN) dari CloudTrail jejak
Bucket S3 dan jalur tempat file CloudTrail log dikirimkan ARN

GenerateDataKeyPermintaan menghasilkan entri di CloudTrail log Anda yang mirip dengan contoh berikut. Ketika Anda melihat entri log seperti ini, Anda dapat menentukan bahwa CloudTrail ( Red circle with number 1 inside, indicating a numerical step or priority. ) disebut AWS KMS ( Red circle with number 2 inside, likely representing a step or item in a sequence. ) GenerateDataKey operation ( Red circle with number 3 inside, indicating a step or sequence number. ) untuk trail ( Red circle with number 4 inside, likely representing a notification or count indicator. ) tertentu. AWS KMS membuat kunci data di bawah KMS kunci tertentu ( Red circle with white number 3 inside, indicating a step or sequence number. ).

catatan

Anda mungkin perlu menggulir ke kanan untuk melihat beberapa panggilan dalam entri log contoh berikut.


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail",
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "userName": "AWSCloudTrail",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T21:15:33Z"
    }},
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:33Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAliasForCloudTrailKMS key",
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/"
    },
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "581f1f11-88b9-11e5-9c9c-595a1fb59ac0",
  "eventID": "3cdb2457-c035-4890-93b6-181832b9e766",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

CloudTrail menempatkan file log ke bucket S3 Anda

Setiap kali CloudTrail memasukkan file log ke bucket S3 Anda, Amazon S3 mengirimkan GenerateDataKeypermintaan AWS KMS ke atas nama. CloudTrail Menanggapi permintaan ini, AWS KMS buat kunci data unik dan kemudian mengirimkan Amazon S3 dua salinan kunci data, satu dalam teks biasa dan satu yang dienkripsi dengan kunci yang ditentukan. KMS Amazon S3 menggunakan kunci data plaintext untuk mengenkripsi file CloudTrail log dan kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan. Amazon S3 menyimpan kunci data terenkripsi sebagai metadata dengan file log terenkripsi. CloudTrail

Permintaan GenerateDataKey tersebut mencakup informasi berikut untuk konteks enkripsi:

Nama Sumber Daya Amazon (ARN) dari CloudTrail jejak
ARNObjek S3 (file CloudTrail log)

Setiap GenerateDataKey permintaan menghasilkan entri di CloudTrail log Anda yang mirip dengan contoh berikut. Ketika Anda melihat entri log seperti ini, Anda dapat menentukan bahwa CloudTrail ( Red circle with number 1 inside, indicating a numerical step or priority. ) disebut AWS KMS ( Red circle with number 2 inside, likely representing a step or item in a sequence. ) GenerateDataKey operation ( Red circle with number 3 inside, indicating a step or sequence number. ) untuk trail ( Red circle with number 4 inside, likely representing a notification or count indicator. ) tertentu untuk melindungi file log tertentu ( Red circle with white number 3 inside, indicating a step or sequence number. ). AWS KMS membuat kunci data di bawah kunci yang ditentukan KMS ( Red circle with white letter B inside, representing a logo or icon. ), ditampilkan dua kali dalam entri log yang sama.

catatan

Anda mungkin perlu menggulir ke kanan untuk melihat beberapa panggilan dalam entri log contoh berikut.


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85",
    "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85",
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-11-11T20:45:25Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::086441151436:role/AWSCloudTrail",
        "accountId": "086441151436",
        "userName": "AWSCloudTrail"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:58Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"
    },
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "66f3f74a-88b9-11e5-b7fb-63d925c72ffe",
  "eventID": "7738554f-92ab-4e27-83e3-03354b1aa898",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

Anda mendapatkan berkas log yang dienkripsi dari bucket S3 Anda

Setiap kali Anda mendapatkan file CloudTrail log terenkripsi dari bucket S3 Anda, Amazon S3 mengirimkan Decryptpermintaan ke AWS KMS atas nama Anda untuk mendekripsi kunci data terenkripsi file log. Menanggapi permintaan ini, AWS KMS gunakan KMS kunci Anda untuk mendekripsi kunci data dan kemudian mengirimkan kunci data teks biasa ke Amazon S3. Amazon S3 menggunakan kunci data plaintext untuk mendekripsi file CloudTrail log dan kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan.

Permintaan Decrypt tersebut mencakup informasi berikut untuk konteks enkripsi:

Nama Sumber Daya Amazon (ARN) dari CloudTrail jejak
ARNObjek S3 (file CloudTrail log)

Setiap Decrypt permintaan menghasilkan entri di CloudTrail log Anda yang mirip dengan contoh berikut. Ketika Anda melihat entri log seperti ini, Anda dapat menentukan bahwa pengguna di Akun AWS ( Red circle with number 1 inside, indicating a numerical step or priority. ) memanggil AWS KMS ( Red circle with number 2 inside, likely representing a step or item in a sequence. ) Decrypt operation ( Red circle with number 3 inside, indicating a step or sequence number. ) untuk trail ( Red circle with number 4 inside, likely representing a notification or count indicator. ) tertentu dan file log tertentu ( Red circle with white number 3 inside, indicating a step or sequence number. ). AWS KMS mendekripsi kunci data di bawah KMS kunci tertentu () Red circle with white letter B inside, representing a logo or icon. .

catatan

Anda mungkin perlu menggulir ke kanan untuk melihat beberapa panggilan dalam entri log contoh berikut.


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "userName": "cloudtrail-admin",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T20:48:04Z"
    }},
    "invokedBy": "signin.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:20:52Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"
    }
  },
  "responseElements": null,
  "requestID": "16a0590a-88ba-11e5-b406-436f15c3ac01",
  "eventID": "9525bee7-5145-42b0-bed5-ab7196a16daa",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bagaimana layanan AWS menggunakan AWS KMS

Amazon DynamoDB