Crittografia dei file di CloudTrail registro con AWS KMS chiavi (SSE-KMS) - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei file di CloudTrail registro con AWS KMS chiavi (SSE-KMS)

Per impostazione predefinita, i file di registro forniti dal CloudTrail bucket vengono crittografati utilizzando la crittografia lato server con una chiave KMS (SSE-KMS). Se non abiliti la crittografia SSE-KMS, i log vengono crittografati utilizzando la crittografia SSE-S3.

Nota

L'abilitazione della crittografia lato server consente di crittografare i file di log, ma non i file digest, con SSE-KMS. I file digest sono crittografati mediante le chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Se utilizzi un bucket S3 esistente con una chiave bucket S3, CloudTrail devi disporre dell'autorizzazione nella policy chiave per utilizzare le azioni e. AWS KMS GenerateDataKey DescribeKey Se a cloudtrail.amazonaws.com non sono concesse tali autorizzazioni nella policy della chiave, non puoi creare o aggiornare un percorso.

Per utilizzare SSE-KMS con CloudTrail, devi creare e gestire una chiave KMS, nota anche come. AWS KMS key Alla chiave si allega una politica che determina quali utenti possono utilizzare la chiave per crittografare e decrittografare i file di registro. CloudTrail La decrittografia è un processo seamless in S3. Quando gli utenti autorizzati della chiave leggono i file di CloudTrail registro, S3 gestisce la decrittografia e gli utenti autorizzati sono in grado di leggere i file di registro in forma non crittografata.

Questo approccio presenta i vantaggi seguenti:

  • Puoi creare e gestire le chiavi di crittografia KMS in modo autonomo.

  • Puoi usare un'unica chiave KMS per crittografare e decrittare i file di log per più account in tutte le Regioni.

  • Hai il controllo su chi può utilizzare la tua chiave per crittografare e decrittografare i file di registro. CloudTrail Puoi assegnare le autorizzazioni per la chiave agli utenti nell'organizzazione in base alle tue esigenze.

  • Disponi di una sicurezza avanzata. Con questa funzione, per leggere i file di log, sono richieste le seguenti autorizzazioni:

    • Un utente deve disporre di autorizzazioni in lettura S3 per il bucket che contiene i file di log.

    • Un utente deve disporre di una policy o di un ruolo che consente di decrittare le autorizzazioni applicate dalla policy della chiave KMS.

  • Poiché S3 decrittografa automaticamente i file di registro per le richieste degli utenti autorizzati a utilizzare la chiave KMS, la crittografia SSE-KMS per i file di registro è retrocompatibile con le applicazioni che leggono i dati di CloudTrail registro. CloudTrail

Nota

La chiave KMS scelta deve essere creata nella stessa AWS regione del bucket Amazon S3 che riceve i file di registro. Ad esempio, se i file di log saranno archiviati in un bucket nella regione Stati Uniti orientali (Ohio), devi creare o scegliere una chiave KMS che è stata creata in quella regione. Per verificare la regione per un bucket Amazon S3, esamina le relative proprietà nella console Amazon S3.

Abilitazione della crittografia dei file di log

Nota

Se crei una chiave KMS nella CloudTrail console, CloudTrail aggiunge automaticamente le sezioni della politica delle chiavi KMS richieste. Segui queste procedure se hai creato una chiave nella console IAM o AWS CLI se devi aggiungere manualmente le sezioni della policy richieste.

Per abilitare la crittografia SSE-KMS per i file di CloudTrail registro, esegui i seguenti passaggi di alto livello:

  1. Creare una chiave KMS.

    Nota

    La chiave KMS che scegli deve fare riferimento alla stessa regione del bucket S3 che riceve i file di log. Per verificare la Regione per un bucket S3, verifica le relative proprietà nella console S3.

  2. Aggiungi sezioni di policy alla chiave che consentono di crittografare e agli utenti CloudTrail di decrittografare i file di registro.

    • Per ulteriori informazioni sugli elementi da includere nella policy, consulta Configurare le politiche AWS KMS chiave per CloudTrail.

      avvertimento

      Assicurati di includere le autorizzazioni di decrittografia nella policy per tutti gli utenti che devono leggere i file di log. Se non esegui questo passaggio prima di aggiungere la chiave alla configurazione del trail, gli utenti senza autorizzazioni di decrittografia non saranno in grado di leggere i file crittografati fino alla concessione delle suddette autorizzazioni.

    • Per informazioni sulla modifica di una policy con la console IAM, consulta Editing a Key Policy nella Guida per gli sviluppatori di AWS Key Management Service .

    • Per informazioni su come allegare una politica a una chiave KMS con, consulta. AWS CLIput-key-policy

  3. Aggiorna il percorso per utilizzare la chiave KMS per cui hai modificato la politica. CloudTrail

CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

La sezione successiva descrive le sezioni della politica con cui deve essere utilizzata la politica delle chiavi KMS. CloudTrail