Le migliori pratiche di crittografia per AWS CloudTrail - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le migliori pratiche di crittografia per AWS CloudTrail

AWS CloudTrail consente di verificare governance, conformità, rischi e operatività per l' Account AWS.

Prendi in considerazione le seguenti best practice di crittografia per questo servizio:

  • CloudTrail i registri devono essere crittografati utilizzando un sistema gestito AWS KMS key dal cliente. Scegli una chiave KMS che si trovi nella stessa regione del bucket S3 che riceve i file di log. Per ulteriori informazioni, consulta la sezione Aggiornamento di un percorso per l'utilizzo della chiave KMS.

  • Come livello di sicurezza aggiuntivo, abilita la convalida dei file di log per i trail. Ciò consente di determinare se un file di registro è stato modificato, eliminato o immutato dopo la CloudTrail consegna. Per istruzioni, consulta Attivazione della convalida dell'integrità dei file di registro per. CloudTrail

  • Utilizza gli endpoint VPC dell'interfaccia per consentire la comunicazione con risorse in altri VPCs senza CloudTrail attraversare la rete Internet pubblica. Per ulteriori informazioni, consulta la pagina relativa all'utilizzo di AWS CloudTrail con endpoint VPC dell'interfaccia.

  • Aggiungi una chiave di aws:SourceArn condizione alla politica delle chiavi KMS per assicurarti che CloudTrail utilizzi la chiave KMS solo per uno o più percorsi specifici. Per ulteriori informazioni, consulta Configurare AWS KMS key le politiche per. CloudTrail

  • Nel AWS Config, implementa la regola cloud-trail-encryption-enabled AWS gestita per convalidare e applicare la crittografia dei file di registro.

  • Se CloudTrail è configurato per inviare notifiche tramite argomenti di Amazon Simple Notification Service (Amazon SNS), aggiungi aws:SourceArn una chiave di condizione (o aws:SourceAccount facoltativamente) all'informativa sulla politica per impedire CloudTrail l'accesso non autorizzato dell'account all'argomento SNS. Per ulteriori informazioni, consulta la policy tematica di Amazon SNS per. CloudTrail

  • Se lo utilizzi AWS Organizations, crea un percorso organizzativo che registri tutti gli eventi relativi Account AWS all'organizzazione. Ciò include l'account di gestione e tutti gli account dei membri dell'organizzazione. Per ulteriori informazioni, consulta Creazione di un trail per un'organizzazione.

  • Crea un percorso che si applichi a tutti i Regioni AWS luoghi in cui archivi i dati aziendali, per registrare le Account AWS attività in quelle regioni. Quando AWS avvia una nuova regione, include CloudTrail automaticamente la nuova regione e registra gli eventi in quella regione.