Práticas recomendadas de criptografia para AWS CloudTrail - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de criptografia para AWS CloudTrail

O AWS CloudTrail ajuda a habilitar governança, conformidade e auditorias operacionais e de risco da sua Conta da AWS.

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

  • CloudTrail os registros devem ser criptografados usando um sistema gerenciado pelo cliente AWS KMS key. Escolha uma chave do KMS que esteja na mesma região que o bucket do S3 que recebe seus arquivos de log. Para obter mais informações, consulte Atualizar uma trilha para usar sua chave do KMS.

  • Como uma camada de segurança adicional, habilite a validação do arquivo de log para trilhas. Isso ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Para obter instruções, consulte Habilitando a validação da integridade do arquivo de log para CloudTrail.

  • Use endpoints VPC de interface para permitir CloudTrail a comunicação com recursos em outros VPCs sem atravessar a Internet pública. Para obter mais informações, consulte Usar a AWS CloudTrail com endpoints da VPC de interface.

  • Adicione uma chave de aws:SourceArn condição à política de chaves do KMS para garantir que a chave do KMS seja CloudTrail usada somente para uma trilha ou trilhas específicas. Para obter mais informações, consulte Configurar AWS KMS key políticas para CloudTrail.

  • Em AWS Config, implemente a regra cloud-trail-encryption-enabled AWS gerenciada para validar e aplicar a criptografia do arquivo de log.

  • Se CloudTrail estiver configurado para enviar notificações por meio de tópicos do Amazon Simple Notification Service (Amazon SNS), adicione aws:SourceArn uma chave de condição (ou aws:SourceAccount opcionalmente) à declaração de política para impedir CloudTrail o acesso não autorizado da conta ao tópico do SNS. Para obter mais informações, consulte a política de tópicos do Amazon SNS para. CloudTrail

  • Se você estiver usando AWS Organizations, crie uma trilha da organização que registre todos os Contas da AWS eventos dessa organização. Isso inclui a conta de gerenciamento e todas as contas-membros na organização. Para obter mais informações, consulte Criar uma trilha para uma organização.

  • Crie uma trilha que se aplique a todos os Regiões da AWS locais em que você armazena dados corporativos, para registrar a Conta da AWS atividade nessas regiões. Quando AWS inicia uma nova região, inclui CloudTrail automaticamente a nova região e registra eventos nessa região.