Abilitazione della crittografia dei file di log

Crittografia dei file di log di CloudTrail con chiavi AWS KMS (SSE-KMS)

Per impostazione predefinita, i file di log distribuiti da CloudTrail al bucket vengono crittografati mediante la crittografia Amazon lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3). Per fornire un livello di sicurezza gestibile direttamente, puoi invece utilizzare la crittografia lato server con chiavi AWS KMS (SSE-KMS) per i file di log di CloudTrail.

Nota

L'abilitazione della crittografia lato server consente di crittografare i file di log, ma non i file digest, con SSE-KMS. I file digest sono crittografati mediante le chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Se utilizzi un bucket S3 esistente con una chiave del bucket S3, a CloudTrail deve essere concessa l'autorizzazione nella policy della chiave per utilizzare le operazioni AWS KMS GenerateDataKey e DescribeKey. Se a cloudtrail.amazonaws.com non sono concesse tali autorizzazioni nella policy della chiave, non puoi creare o aggiornare un percorso.

Per utilizzare SSE-KMS con CloudTrail, puoi creare e gestire una chiave KMS, nota anche come AWS KMS key. Puoi collegare una policy alla chiave che determina quali utenti possono utilizzare la chiave per crittografare e decrittare i file di log di CloudTrail. La decrittografia è un processo seamless in S3. Quando gli utenti autorizzati della chiave leggono i file di log di CloudTrail, S3 gestisce la decrittografia e gli utenti autorizzati sono in grado di leggere i file di log in formato non crittografato.

Questo approccio presenta i vantaggi seguenti:

Puoi creare e gestire le chiavi di crittografia KMS in modo autonomo.
Puoi usare un'unica chiave KMS per crittografare e decrittare i file di log per più account in tutte le regioni.
Hai il pieno controllo degli utenti che possono usare la chiave per crittografare e decrittare i file di log di CloudTrail. Puoi assegnare le autorizzazioni per la chiave agli utenti nell'organizzazione in base alle tue esigenze.
Disponi di una sicurezza avanzata. Con questa funzione, per leggere i file di log, sono richieste le seguenti autorizzazioni:
- Un utente deve disporre di autorizzazioni in lettura S3 per il bucket che contiene i file di log.
- Un utente deve disporre di una policy o di un ruolo che consente di decrittare le autorizzazioni applicate dalla policy della chiave KMS.
Poiché S3 esegue la decrittografia automatica dei file di log per le richieste degli utenti autorizzati a utilizzare la chiave KMS, la crittografia SSE-KMS per i file di log di CloudTrail è compatibile con le versioni precedenti delle applicazioni in grado di leggere i dati dei log di CloudTrail.

Nota

La chiave KMS che scegli deve essere creata nella stessa regione AWS del bucket Amazon S3 che riceve i file di log. Ad esempio, se i file di log saranno archiviati in un bucket nella regione Stati Uniti orientali (Ohio), devi creare o scegliere una chiave KMS che è stata creata in quella regione. Per verificare la regione per un bucket Amazon S3, esamina le relative proprietà nella console Amazon S3.

Abilitazione della crittografia dei file di log

Nota

Se crei una chiave KMS nella console CloudTrail, CloudTrail aggiunge automaticamente le sezioni di policy delle chiavi KMS necessarie. Segui queste procedure se hai creato una chiave nella console IAM o AWS CLI e devi aggiungere manualmente le sezioni di policy richieste.

Per abilitare la crittografia SSE-KMS per i file di log di CloudTrail, esegui le seguenti operazioni di alto livello:

Crea una chiave KMS.
- Per ulteriori informazioni sulla creazione di una chiave KMS con la AWS Management Console, consulta Creating Keys nella Guida per gli sviluppatori di AWS Key Management Service.
- Per ulteriori informazioni su come creare una chiave KMS con la AWS CLI, consulta create-key.
Nota
La chiave KMS che scegli deve fare riferimento alla stessa regione del bucket S3 che riceve i file di log. Per verificare la regione per un bucket S3, verifica le relative proprietà nella console S3.
Aggiungi alla chiave le sezioni di policy che consentono a CloudTrail di crittografare e agli utenti di decrittare i file di log.
- Per ulteriori informazioni sugli elementi da includere nella policy, consulta Configura policy della chiave AWS KMS per CloudTrail.
  
  avvertimento
  Assicurati di includere le autorizzazioni di decrittografia nella policy per tutti gli utenti che devono leggere i file di log. Se non esegui questo passaggio prima di aggiungere la chiave alla configurazione del trail, gli utenti senza autorizzazioni di decrittografia non saranno in grado di leggere i file crittografati fino alla concessione delle suddette autorizzazioni.
- Per informazioni sulla modifica di una policy con la console IAM, consulta Editing a Key Policy nella Guida per gli sviluppatori di AWS Key Management Service.
- Per informazioni su come allegare una policy a una chiave KMS con la AWS CLI, consulta put-key-policy.
Aggiorna il percorso in modo che usi la chiave KMS di cui hai modificato la policy per CloudTrail.
- Per aggiornare la configurazione del percorso mediante la console CloudTrail, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS.
- Per aggiornare la configurazione del trail mediante l'AWS CLI, consulta Abilitazione e disabilitazione della crittografia dei file di log di CloudTrail con la AWS CLI.

CloudTrail supporta anche chiavi AWS KMS multi-regione. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service.

La sezione successiva descrive le sezioni di policy richieste dalla policy della chiave KMS per l'uso con CloudTrail.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice di sicurezza

Concessione delle autorizzazioni per la creazione di una chiave KMS