Praktik terbaik enkripsi untuk AWS CloudTrail - AWS Panduan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik enkripsi untuk AWS CloudTrail

AWS CloudTrailmembantu Anda mengaudit tata kelola, kepatuhan, dan operasional serta risiko Anda Akun AWS.

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

  • CloudTrail log harus dienkripsi menggunakan pelanggan yang dikelola. AWS KMS key Pilih kunci KMS yang berada di wilayah yang sama dengan bucket S3 yang menerima file log Anda. Untuk informasi selengkapnya, lihat Memperbarui jejak untuk menggunakan kunci KMS Anda.

  • Sebagai lapisan keamanan tambahan, aktifkan validasi file log untuk jejak. Ini membantu Anda menentukan apakah file log telah dimodifikasi, dihapus, atau tidak diubah setelah CloudTrail dikirimkan. Untuk petunjuk, lihat Mengaktifkan validasi integritas file log untuk. CloudTrail

  • Gunakan antarmuka VPC endpoint untuk memungkinkan CloudTrail untuk berkomunikasi dengan sumber daya lain VPCs tanpa melintasi internet publik. Untuk informasi selengkapnya, lihat Menggunakan AWS CloudTrail dengan titik akhir VPC antarmuka.

  • Tambahkan kunci aws:SourceArn kondisi ke kebijakan kunci KMS untuk memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jejak atau jalur tertentu. Untuk informasi selengkapnya, lihat Mengkonfigurasi AWS KMS key kebijakan untuk CloudTrail.

  • Di AWS Config, terapkan aturan cloud-trail-encryption-enabled AWS terkelola untuk memvalidasi dan menegakkan enkripsi file log.

  • Jika CloudTrail dikonfigurasi untuk mengirim notifikasi melalui topik Amazon Simple Notification Service (Amazon SNS), tambahkan aws:SourceArn kunci kondisi (atau aws:SourceAccount opsional) ke pernyataan kebijakan untuk mencegah akses akun CloudTrail yang tidak sah ke topik SNS. Untuk informasi selengkapnya, lihat kebijakan topik Amazon SNS untuk. CloudTrail

  • Jika Anda menggunakan AWS Organizations, buat jejak organisasi yang mencatat semua peristiwa Akun AWS di organisasi tersebut. Ini termasuk akun manajemen dan semua akun anggota dalam organisasi. Untuk informasi selengkapnya, lihat Membuat jejak untuk organisasi.

  • Buat jejak yang berlaku untuk semua Wilayah AWS tempat Anda menyimpan data perusahaan, untuk merekam Akun AWS aktivitas di Wilayah tersebut. Saat AWS meluncurkan Wilayah baru, CloudTrail secara otomatis menyertakan Wilayah baru dan mencatat peristiwa di Wilayah tersebut.