的加密最佳实践 AWS CloudTrail

AWS CloudTrail 可帮助您审计 AWS 账户的治理、合规性、运营和风险。

考虑下面针对该服务的加密最佳实践：

• CloudTrail 应使用客户管理的日志进行加密 AWS KMS key。选择与接收日志文件的 S3 存储桶位于同一个区域的 KMS 密钥。有关更多信息，请参阅 Updating a trail to use your KMS key。

• 作为额外的安全层，为跟踪启用日志文件验证。这可以帮助您确定日志文件在 CloudTrail 传送后是被修改、删除还是未更改。有关说明，请参阅启用日志文件完整性验证 CloudTrail。

• 使用接口 VPC 终端节点 CloudTrail ， VPCs 无需通过公共 Internet 即可与其他资源进行通信。有关更多信息，请参阅 Using AWS CloudTrail with interface VPC endpoints。

• 向 KMS 密钥策略添加aws:SourceArn条件密钥，以确保该策略仅对一个或多个特定的跟踪 CloudTrail 使用 KMS 密钥。有关更多信息，请参阅为配置 AWS KMS key 策略 CloudTrail。

• 在中 AWS Config，实施cloud-trail-encryption-enabled AWS 托管规则以验证和强制执行日志文件加密。

• 如果配置 CloudTrail 为通过亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题发送通知，请在策略声明中添加aws:SourceArn（或aws:SourceAccount可选）条件密钥，以防止账户未经授权访问该 SNS 主题。 CloudTrail 有关更多信息，请参阅 Amazon SNS 主题政策。 CloudTrail

• 如果您正在使用 AWS Organizations，请创建记录该组织 AWS 账户 中所有事件的组织跟踪。这包括组织中的管理账户和所有成员账户。有关更多信息，请参阅 Creating a trail for an organization。

• 创建一条适用于您存储公司数据的所有 AWS 区域位置的跟踪，以记录这些地区的 AWS 账户 活动。 AWS 启动新区域时， CloudTrail 会自动包含新区域并记录该区域中的事件。