驗證 CloudTrail 記錄檔完整性

若要判斷記錄檔在 CloudTrail 傳送之後是否已修改、刪除或未變更，您可以使用 CloudTrail 記錄檔完整性驗證。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這使得在計算上不可行修改，刪除或偽造 CloudTrail 日誌文件而不進行檢測。您可以使用 AWS CLI 來驗證傳 CloudTrail 送檔案的位置中的檔案。

為什麼使用它？

驗證過的日誌檔案對於安全和鑑識調查十分重要。例如，驗證過的日誌檔案可讓您積極宣告日誌檔案本身尚未變更，或該特定使用者登入資料已執行特定 API 活動。記 CloudTrail 錄檔完整性驗證程序也會讓您知道記錄檔是否已遭刪除或變更，或是確定在指定期間內未傳送任何記錄檔到您的帳戶。

運作方式

當您啟用記錄檔完整性驗證時， CloudTrail 會為其提供的每個記錄檔建立雜湊。每小時 CloudTrail 也會建立並傳送參照最後一小時記錄檔的檔案，並包含每個記錄檔的雜湊值。這個檔案稱為摘要檔案。 CloudTrail 使用公開金鑰和私密 key pair 的私密金鑰來簽署每個摘要檔案。傳送之後，您可以使用公開金鑰來驗證摘要檔案。 CloudTrail 每個密鑰對使用不同的密鑰對 AWS 區域。

摘要檔案會傳送至與您的追蹤相關聯的 Amazon S3 儲存貯體，做為 CloudTrail 日誌檔案。如果您的日誌檔是從所有區域或從多個帳戶傳送到單一 Amazon S3 儲存貯體，則 CloudTrail 會將這些區域和帳戶的摘要檔傳送到同一個儲存貯體。

摘要檔案和日誌檔案會分別放入不同的資料夾。將摘要檔案和日誌檔案區隔可讓您強制執行精細的安全政策，以及允許現有日誌處理解決方案來持續操作，而無需修改。每個摘要檔案也會包含先前摘要檔案的數位簽章 (如果有的話)。目前摘要檔案的簽章位在摘要檔案 Amazon S3 物件的中繼資料屬性中。如需摘要檔案內容的詳細資訊，請參閱「CloudTrail 摘要檔案結構」。

存放日誌檔案和摘要檔案

您可以將 CloudTrail 日誌檔和摘要檔案安全、持久且經濟實惠地存放在 Amazon S3 或 S3 Glacier 中，無限期。若要強化存放在 Amazon S3 中之摘要檔案的安全性，您可以使用 Amazon S3 MFA Delete。

啟用驗證並驗證檔案

若要啟用記錄檔完整性驗證 AWS Management Console，您可以使用 AWS CLI、或 CloudTrail API。啟用日誌檔完整性驗證允許 CloudTrail 將摘要日誌檔傳遞到 Amazon S3 儲存貯體，但不會驗證檔案的完整性。如需詳細資訊，請參閱 啟用記錄檔完整性驗證 CloudTrail。

若要驗證記 CloudTrail 錄檔的完整性，您可以使用 AWS CLI 或建立自己的解決方案。 AWS CLI 將驗證 CloudTrail 傳送檔案的位置中的檔案。如果您想要驗證已移至不同位置的日誌 (在 Amazon S3 或其他位置中)，則可建立自己的驗證工具。

如需使用驗證記錄檔的資訊 AWS CLI，請參閱驗證 CloudTrail 記錄檔完整性 AWS CLI。如需有關開發 CloudTrail 記錄檔驗證自訂實作的資訊，請參閱 CloudTrail 記錄檔完整性驗證的自訂實作。