Criptografar arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com AWS KMS chaves (SSE-KMS) - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografar arquivos de CloudTrail log, arquivos de resumo e armazenamentos de dados de eventos com AWS KMS chaves (SSE-KMS)

Por padrão, os arquivos de log e os arquivos de resumo entregues CloudTrail ao seu bucket são criptografados usando criptografia do lado do servidor com uma chave KMS (SSE-KMS). Se você não habilitar a criptografia SSE-KMS, seus arquivos de log e de resumo serão criptografados usando a criptografia SSE-S3.

nota

Se você estiver usando um bucket S3 existente com uma chave de bucket S3, CloudTrail deve ter permissão na política de chaves para usar as AWS KMS ações e. GenerateDataKey DescribeKey Se o cloudtrail.amazonaws.com não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.

Para usar o SSE-KMS com CloudTrail, você cria e gerencia um. AWS KMS key Você anexa uma política à chave que determina quais usuários podem usar a chave para criptografar e descriptografar arquivos de CloudTrail log e arquivos de resumo. A descriptografia é facilitada pelo S3. Quando usuários autorizados da chave leem arquivos de CloudTrail log ou arquivos de resumo, o S3 gerencia a descriptografia e os usuários autorizados podem ler os arquivos em formato não criptografado.

Essa abordagem tem as seguintes vantagens:

  • Você mesmo pode criar e gerenciar a chave KMS.

  • Você pode usar uma única chave KMS para criptografar e descriptografar arquivos de log e arquivos de resumo de várias contas em todas as regiões.

  • Você tem controle sobre quem pode usar sua chave para criptografar e descriptografar arquivos de CloudTrail log e arquivos de resumo. Você pode atribuir permissões para a chave aos usuários na sua organização de acordo com os seus requisitos.

  • Você tem segurança aprimorada. Com esse recurso, para ler arquivos de log ou arquivos de resumo, as seguintes permissões são necessárias:

    • Um usuário deve ter permissões de leitura do S3 para o bucket que contém os arquivos de log e os arquivos de resumo.

    • Um usuário também deve ter uma política ou função aplicada com permissões de descriptografia pela política da chave do KMS.

  • Como o S3 descriptografa automaticamente os arquivos de log e os arquivos de resumo para solicitações de usuários autorizados a usar a chave KMS, a criptografia SSE-KMS dos arquivos é compatível com versões anteriores de aplicativos que leem dados de log. CloudTrail

nota

A chave KMS que você escolher deve ser criada na mesma AWS região do bucket do Amazon S3 que recebe seus arquivos de log e arquivos de resumo. Por exemplo, se os arquivos de log e os arquivos de resumo forem armazenados em um bucket na região Leste dos EUA (Ohio), você deverá criar ou escolher uma chave KMS criada nessa região. Para verificar a região de um bucket do Amazon S3, inspecione as respectivas propriedades no console do Amazon S3.

Por padrão, os armazenamentos de dados de eventos são criptografados por CloudTrail. Você tem a opção de usar sua própria chave KMS para criptografia ao criar ou atualizar um armazenamento de dados de eventos.

Ativar a criptografia dos arquivos de log

nota

Se você criar uma chave KMS no CloudTrail console, CloudTrail adicionará as seções de política de chaves KMS necessárias para você. Siga esses procedimentos se você criou uma chave no console do IAM ou AWS CLI precisa adicionar manualmente as seções de política necessárias.

Para habilitar a criptografia SSE-KMS para arquivos de CloudTrail log, execute as seguintes etapas de alto nível:

  1. Crie uma chave do KMS.

    • Para obter informações sobre como criar uma chave KMS com o AWS Management Console, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.

    • Para obter informações sobre como criar uma chave KMS com o AWS CLI, consulte create-key.

    nota

    A chave KMS que você escolher deve estar na mesma região do bucket do S3 que recebe seus arquivos de log e arquivos de resumo. Para verificar a região de um bucket do S3, inspecione as propriedades do bucket no console do S3.

  2. Adicione seções de política à chave que permitem CloudTrail criptografar e que os usuários descriptografem arquivos de log e arquivos de resumo.

    • Para obter informações sobre o que incluir na política, consulte Configure as AWS KMS principais políticas para CloudTrail.

      Atenção

      Certifique-se de incluir permissões de descriptografia na política para todos os usuários que precisam ler arquivos de log ou arquivos de resumo. Se não executar essa etapa antes de adicionar a chave à configuração da trilha, os usuários que não tiverem permissão de descriptografia não conseguirão ler arquivos criptografados até que essas permissões sejam concedidas para eles.

    • Para obter informações sobre como editar uma política com o console do IAM, consulte Como editar uma política de chaves no Guia do desenvolvedor do AWS Key Management Service .

    • Para obter informações sobre como anexar uma política a uma chave KMS com AWS CLI o. put-key-policy

  3. Atualize seu armazenamento de dados de trilhas ou eventos para usar a chave KMS cuja política você modificou. CloudTrail

CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .

A próxima seção descreve as seções de política que sua política de chaves do KMS exige para uso com CloudTrail.