Ativar a criptografia dos arquivos de log

Criptografando arquivos de CloudTrail log com AWS KMS chaves (SSE-KMS)

Por padrão, os arquivos de log entregues CloudTrail ao seu bucket são criptografados usando criptografia do lado do servidor com uma KMS chave (SSE-). KMS Se você não ativar a KMS criptografia SSE -, seus registros serão criptografados usando a criptografia SSE-S3.

nota

A ativação da criptografia do lado do servidor criptografa os arquivos de log, mas não os arquivos de resumo, com -. SSE KMS Os arquivos Digest são criptografados com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Se você estiver usando um bucket S3 existente com uma chave de bucket S3, CloudTrail deverá ter permissão na política de chaves para usar as AWS KMS ações e. GenerateDataKey DescribeKey Se o cloudtrail.amazonaws.com não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.

Para usar SSE - KMS com CloudTrail, você cria e gerencia uma KMS chave, também conhecida como AWS KMS key. Você anexa uma política à chave que determina quais usuários podem usar a chave para criptografar e CloudTrail descriptografar arquivos de log. A descriptografia é facilitada pelo S3. Quando os usuários autorizados da chave leem os arquivos de CloudTrail log, o S3 gerencia a descriptografia e os usuários autorizados podem ler os arquivos de log em formato não criptografado.

Essa abordagem tem as seguintes vantagens:

Você mesmo pode criar e gerenciar as KMS chaves de criptografia de chaves.
Você pode usar uma única KMS chave para criptografar e descriptografar arquivos de log de várias contas em todas as regiões.
Você tem controle sobre quem pode usar sua chave para criptografar e CloudTrail descriptografar arquivos de log. Você pode atribuir permissões para a chave aos usuários na sua organização de acordo com os seus requisitos.
Você tem segurança aprimorada. Com esse recurso, para ler arquivos de log, as seguintes permissões são necessárias:
- Um usuário deve ter permissões de leitura do S3 para o bucket que contém os arquivos de log.
- Um usuário também deve ter uma política ou função aplicada que permita descriptografar permissões de acordo com a KMS política de chaves.
Como o S3 descriptografa automaticamente os arquivos de log para solicitações de usuários autorizados a usar a KMS chave, SSE - a KMS criptografia para arquivos de CloudTrail log é compatível com versões anteriores de aplicativos que lêem dados de log. CloudTrail

nota

A KMS chave que você escolher deve ser criada na mesma AWS região do bucket do Amazon S3 que recebe seus arquivos de log. Por exemplo, se os arquivos de log forem armazenados em um bucket na região Leste dos EUA (Ohio), você deverá criar ou escolher uma KMS chave criada nessa região. Para verificar a região de um bucket do Amazon S3, inspecione as respectivas propriedades no console do Amazon S3.

Ativar a criptografia dos arquivos de log

nota

Se você criar uma KMS chave no CloudTrail console, CloudTrail adicionará as seções de política de KMS chaves necessárias para você. Siga esses procedimentos se você criou uma chave no IAM console ou AWS CLI precisa adicionar manualmente as seções de política necessárias.

Para habilitar SSE - KMS criptografia para arquivos de CloudTrail log, execute as seguintes etapas de alto nível:

Crie uma chave do KMS.
- Para obter informações sobre como criar uma KMS chave com o AWS Management Console, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.
- Para obter informações sobre como criar uma KMS chave com o AWS CLI, consulte create-key.
nota
A KMS chave que você escolher deve estar na mesma região do bucket do S3 que recebe seus arquivos de log. Para verificar a região de um bucket do S3, inspecione as propriedades do bucket no console do S3.
Adicione seções de política à chave que permitem CloudTrail criptografar e que os usuários descriptografem arquivos de log.
- Para obter informações sobre o que incluir na política, consulte Configure as AWS KMS principais políticas para CloudTrail.
  
  Atenção
  Inclua permissões de descriptografia na política de todos os usuários que precisam ler arquivos de log. Se não executar essa etapa antes de adicionar a chave à configuração da trilha, os usuários que não tiverem permissão de descriptografia não conseguirão ler arquivos criptografados até que essas permissões sejam concedidas para eles.
- Para obter informações sobre como editar uma política com o IAM console, consulte Editando uma política de chaves no Guia do AWS Key Management Service desenvolvedor.
- Para obter informações sobre como anexar uma política a uma KMS chave com o. AWS CLIput-key-policy
Atualize sua trilha para usar a KMS chave cuja política você modificou CloudTrail.
- Para atualizar a configuração da trilha usando o CloudTrail console, consulteAtualizar um recurso para usar sua KMS chave com o console.
- Para atualizar a configuração da trilha usando o AWS CLI, consulteAtivando e desativando a criptografia do arquivo de CloudTrail log com o AWS CLI.

CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .

A próxima seção descreve as seções de política que sua política de KMS chaves exige para uso com CloudTrail.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Melhores práticas de segurança

Conceder permissões para criar uma chave KMS