Policy predefinita della chiave KMS creata nella console CloudTrail
Se crei una AWS KMS key nella console CloudTrail, verranno create automaticamente le seguenti policy. La policy supporta queste autorizzazioni:
-
Concede all'account AWS (root) le autorizzazioni per la chiave KMS.
-
Permette a CloudTrail di crittografare i file di log sotto la chiave KMS e di descrivere la chiave KMS.
-
Consente a tutti gli utenti negli account specificati di decrittografare i file di log.
-
Permette a tutti gli utenti nell'account specificato di creare un alias KMS per la chiave KMS.
-
Abilita la decrittografia di log tra più account per l'ID account dell'account che ha creato il trail.
Argomenti
Policy della chiave KMS predefinita per gli archivi dati di eventi CloudTrail Lake
Di seguito è riportata la policy predefinita creata per una AWS KMS key che utilizzi con un archivio dati di eventi in CloudTrail Lake.
{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}", "Effect": "Allow", "Principal": { "Service": ["cloudtrail.amazonaws.com"] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:${this.ARN_PARTITION}:iam::${this.ACCOUNT_ID}:root" "AWS": "arn:${this.partition}:iam::${this.account-id}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable user to have permissions", "Effect": "Allow", "Principal": { "AWS" : "${this.role-ARN}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" } ] }
Policy della chiave KMS predefinita per i trail
Di seguito è riportata la policy predefinita creata per una AWS KMS key che utilizzi con un trail.
La policy include una istruzione che permette ad account diversi di decrittografare i file di log con la chiave KMS.
{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account-id:root", "arn:aws:iam::account-id:user/username" ]}, "Action": "kms:*", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:Region:account_ID:key/key_ID", "Condition": {"StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"}} }, { "Sid": "Allow CloudTrail to describe key", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:Region:account_ID:key/key_ID" }, { "Sid": "Allow principals in the account to decrypt log files", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:Region:account_ID:key/key_ID", "Condition": { "StringEquals": {"kms:CallerAccount": "account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"} } }, { "Sid": "Allow alias creation during setup", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": "kms:CreateAlias", "Resource": "arn:aws:kms:Region:account_ID:key/key_ID", "Condition": {"StringEquals": { "kms:ViaService": "ec2.region.amazonaws.com", "kms:CallerAccount": "account-id" }} } ] }
