에 대한 암호화 모범 사례 AWS CloudTrail

AWS CloudTrail은 AWS 계정의 거버넌스, 규정 준수, 운영 및 위험을 감사하는 데 도움이 됩니다.

이 서비스에 대해 다음 암호화 모범 사례를 고려하세요.

• 고객 관리형 AWS KMS key를 사용하여 CloudTrail 로그를 암호화해야 합니다. 로그 파일을 수신하는 S3 버킷과 동일한 리전에 있는 KMS 키를 선택합니다. 자세한 내용은 KMS 키를 사용하도록 트레일 업데이트를 참조하세요.

• 추가 보안 계층으로 트레일에 대한 로그 파일 검증을 활성화합니다. 이렇게 하면 CloudTrail이 로그 파일을 전달한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. 지침은 CloudTrail에 대한 로그 파일 무결성 검증 활성화를 참조하세요.

• 인터페이스 VPC 엔드포인트를 사용하면 CloudTrail이 퍼블릭 인터넷을 통하지 않고 다른 VPC의 리소스와 통신할 수 있습니다. 자세한 내용은 인터페이스 VPC 엔드포인트와 함께 AWS CloudTrail 사용을 참조하세요.

• aws:SourceArn 조건 키를 KMS 키 정책에 추가하여 CloudTrail이 하나 이상의 특정 트레일에만 KMS 키를 사용하도록 합니다. 자세한 내용은 CloudTrail에 대한 AWS KMS key 정책 구성을 참조하세요.

• 에서 cloud-trail-encryption-enabled AWS 관리형 규칙을 AWS Config구현하여 로그 파일 암호화를 검증하고 적용합니다.

• CloudTrail이 Amazon Simple Notification Service(SNS) 주제를 통해 알림을 보내도록 구성된 경우 aws:SourceArn 또는 aws:SourceAccount(선택 사항) 조건 키를 CloudTrail 정책 설명에 추가하여 SNS 주제에 대한 무단 계정 액세스를 방지합니다. 자세한 내용은 CloudTrail에 대한 Amazon SNS 주제 정책 섹션을 참조하세요.

• 를 사용하는 경우 AWS Organizations해당 조직의 AWS 계정 에 대한 모든 이벤트를 로깅하는 조직 추적을 생성합니다. 여기에는 관리 계정과 조직의 모든 멤버 계정이 포함됩니다. 자세한 내용은 조직에 대한 트레일 생성을 참조하세요.

• 기업 데이터를 저장하는 모든에 적용되는 AWS 리전 추적을 생성하여 해당 리전의 AWS 계정 활동을 기록합니다. 가 새 리전을 AWS 시작하면 CloudTrail은 자동으로 새 리전을 포함하고 해당 리전의 이벤트를 기록합니다.