Crittografia dei file di CloudTrail registro con AWS KMS chiavi (SSE-KMS)

Per impostazione predefinita, i file di registro forniti dal CloudTrail bucket vengono crittografati utilizzando la crittografia lato server con una KMS chiave (SSE-). KMS Se non SSE abiliti la KMS crittografia, i log vengono crittografati utilizzando la crittografia -S3. SSE

Nota

L'abilitazione della crittografia lato server crittografa i file di registro ma non i file digest con -. SSE KMS I file Digest sono crittografati con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Se utilizzi un bucket S3 esistente con una chiave bucket S3, CloudTrail devi disporre dell'autorizzazione nella policy chiave per utilizzare le azioni e. AWS KMS GenerateDataKey DescribeKey Se a cloudtrail.amazonaws.com non sono concesse tali autorizzazioni nella policy della chiave, non puoi creare o aggiornare un percorso.

Per utilizzareSSE: KMS con CloudTrail, crei e gestisci una KMS chiave, nota anche come. AWS KMS key Alla chiave si allega una politica che determina quali utenti possono utilizzare la chiave per crittografare e decrittografare CloudTrail i file di registro. La decrittografia è un processo seamless in S3. Quando gli utenti autorizzati della chiave leggono i file di CloudTrail registro, S3 gestisce la decrittografia e gli utenti autorizzati sono in grado di leggere i file di registro in forma non crittografata.

Questo approccio presenta i vantaggi seguenti:

• Puoi creare e gestire tu stesso le chiavi di crittografia delle KMS chiavi.

• È possibile utilizzare un'unica KMS chiave per crittografare e decrittografare i file di registro per più account in tutte le regioni.

• Hai il controllo su chi può utilizzare la tua chiave per crittografare e decrittografare i file di registro. CloudTrail Puoi assegnare le autorizzazioni per la chiave agli utenti nell'organizzazione in base alle tue esigenze.

• Disponi di una sicurezza avanzata. Con questa funzione, per leggere i file di log, sono richieste le seguenti autorizzazioni:

  • Un utente deve disporre di autorizzazioni in lettura S3 per il bucket che contiene i file di log.

  • A un utente deve inoltre essere applicato un criterio o un ruolo che consenta di decrittografare le autorizzazioni in base alla politica chiave. KMS

• Poiché S3 decrittografa automaticamente i file di registro per le richieste degli utenti autorizzati a utilizzare la KMS chiave, la KMS crittografia dei file di registro è SSE retrocompatibile con le applicazioni che leggono i dati di CloudTrail registro. CloudTrail

Nota

La KMS chiave scelta deve essere creata nella stessa AWS regione del bucket Amazon S3 che riceve i file di registro. Ad esempio, se i file di registro verranno archiviati in un bucket nella regione Stati Uniti orientali (Ohio), devi creare o scegliere una KMS chiave creata in quella regione. Per verificare la regione per un bucket Amazon S3, esamina le relative proprietà nella console Amazon S3.

Abilitazione della crittografia dei file di log

Nota

Se crei una KMS chiave nella CloudTrail console, CloudTrail aggiunge automaticamente le sezioni politiche KMS chiave richieste. Segui queste procedure se hai creato una chiave nella IAM console o AWS CLI se devi aggiungere manualmente le sezioni delle policy richieste.

Per abilitare SSE KMS la crittografia dei file di CloudTrail registro, esegui i seguenti passaggi di alto livello:

1. Crea una chiave KMS.

   • Per informazioni sulla creazione di una KMS chiave con AWS Management Console, consulta Creating Keys nella AWS Key Management Service Developer Guide.

   • Per informazioni sulla creazione di una KMS chiave con AWS CLI, consulta create-key.

   Nota

   La KMS chiave scelta deve trovarsi nella stessa regione del bucket S3 che riceve i file di registro. Per verificare la Regione per un bucket S3, verifica le relative proprietà nella console S3.

2. Aggiungi sezioni di policy alla chiave che consentono di crittografare e agli utenti CloudTrail di decrittografare i file di registro.

   • Per ulteriori informazioni sugli elementi da includere nella policy, consulta Configurare le politiche AWS KMS chiave per CloudTrail.

     avvertimento

     Assicurati di includere le autorizzazioni di decrittografia nella policy per tutti gli utenti che devono leggere i file di log. Se non esegui questo passaggio prima di aggiungere la chiave alla configurazione del trail, gli utenti senza autorizzazioni di decrittografia non saranno in grado di leggere i file crittografati fino alla concessione delle suddette autorizzazioni.

   • Per informazioni sulla modifica di una policy con la IAM console, consulta Modifica di una policy chiave nella Developer Guide.AWS Key Management Service

   • Per informazioni su come allegare una politica a una KMS chiave con AWS CLI, vedere put-key-policy.

3. Aggiorna il percorso per utilizzare la KMS chiave per CloudTrail la quale hai modificato la politica.

   • Per aggiornare la configurazione del percorso utilizzando la CloudTrail console, consultaAggiornamento di una risorsa per utilizzare la KMS chiave con la console.

   • Per aggiornare la configurazione del percorso utilizzando il AWS CLI, vedereAttivazione e disabilitazione della crittografia dei file di CloudTrail registro con AWS CLI.

CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

La sezione successiva descrive le sezioni della politica con CloudTrail cui deve essere utilizzata la policy KMS chiave.