CloudTrail 콘솔에서 생성된 기본 KMS 키 정책 - AWS CloudTrail

CloudTrail 콘솔에서 생성된 기본 KMS 키 정책

CloudTrail 콘솔에서 AWS KMS key를 생성하는 경우 다음 정책이 자동으로 생성됩니다. 이 정책은 다음 권한을 허용합니다.

  • KMS 키에 대한 AWS 계정(루트) 권한을 허용합니다.

  • CloudTrail이 KMS 키 아래의 로그 파일을 암호화하고 KMS 키를 설명하도록 허용합니다.

  • 지정된 계정의 모든 사용자가 로그 파일을 암호화 해제하도록 허용합니다.

  • 지정된 계정의 모든 사용자가 KMS 키에 대한 KMS 별칭을 생성하도록 허용합니다.

  • 추적을 생성한 계정의 계정 ID에 대한 교차 계정 로그 암호화 해제를 활성화합니다.

CloudTrail Lake 이벤트 데이터 스토어의 기본 KMS 키 정책

다음은 CloudTrail Lake의 이벤트 데이터 스토어에서 사용하는 AWS KMS key에 대해 생성되는 기본 정책입니다.

{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}", "Effect": "Allow", "Principal": { "Service": ["cloudtrail.amazonaws.com"] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:${this.partition}:iam::${this.account-id}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable user to have permissions", "Effect": "Allow", "Principal": { "AWS" : "${this.role-ARN}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" } ] }

추적의 기본 KMS 키 정책

다음은 추적에서 사용하는 AWS KMS key에 대해 생성되는 기본 정책입니다.

참고

정책은 교차 계정이 KMS 키를 사용하여 로그 파일을 복호화할 수 있도록 허용하는 문을 포함합니다.

{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::account-id:root", "arn:aws:iam::account-id:user/username" ]}, "Action": "kms:*", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:Region:account_ID:key/key_ID", "Condition": {"StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"}} }, { "Sid": "Allow CloudTrail to describe key", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:Region:account_ID:key/key_ID" }, { "Sid": "Allow principals in the account to decrypt log files", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:Region:account_ID:key/key_ID", "Condition": { "StringEquals": {"kms:CallerAccount": "account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"} } }, { "Sid": "Allow alias creation during setup", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": "kms:CreateAlias", "Resource": "arn:aws:kms:Region:account_ID:key/key_ID", "Condition": {"StringEquals": { "kms:ViaService": "ec2.region.amazonaws.com", "kms:CallerAccount": "account-id" }} } ] }