的加密最佳實務 AWS CloudTrail

AWS CloudTrail 可協助您稽核 AWS 帳戶的監管、合規、操作和風險。

請考慮此服務的下列加密最佳實務：

• CloudTrail 日誌應使用客戶受管 AWS KMS key進行加密。選擇位在與收到您日誌檔案之 S3 儲存貯體相同區域中的 KMS 金鑰。如需詳細資訊，請參閱更新追蹤以使用您的 KMS 金鑰。

• 作為額外的安全層，啟用追蹤的日誌檔案驗證。這可協助您確定日誌檔案在 CloudTrail 交付後是否已修改、刪除或未變更。如需說明，請參閱啟用 CloudTrail 的日誌檔案完整性驗證。

• 使用介面 VPC 端點可讓 CloudTrail 與其他 VPC 中的資源進行通訊，而無需周遊公有網際網路。如需詳細資訊，請參閱將 AWS CloudTrail 與介面 VPC 端點搭配使用。

• 將 aws:SourceArn 條件金鑰新增至 KMS 金鑰政策，可確保 CloudTrail 僅針對特定追蹤使用 KMS 金鑰。如需詳細資訊，請參閱設定 CloudTrail AWS KMS key 的政策。

• 在 中 AWS Config，實作cloud-trail-encryption-enabled AWS 受管規則，以驗證和強制執行日誌檔案加密。

• 如果 CloudTrail 設定為透過 Amazon Simple Notification Service (Amazon SNS) 主題傳送通知，請將 aws:SourceArn (或選用 aws:SourceAccount) 條件金鑰新增至 CloudTrail 政策陳述式，以防止未經授權的帳戶存取 SNS 主題。如需詳細資訊，請參閱適用於 CloudTrail 的 Amazon SNS 主題政策。

• 如果您使用的是 AWS Organizations，請建立組織追蹤記錄 AWS 帳戶 該組織中 的所有事件。這包括組織中的管理帳戶和所有成員帳戶。如需詳細資訊，請參閱為組織建立追蹤。

• 建立適用於您存放公司資料之所有 AWS 區域 的線索，以記錄這些區域中 AWS 帳戶 的活動。當 AWS 啟動新區域時，CloudTrail 會自動包含新區域，並記錄該區域中的事件。