Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überprüfen der Integrität der CloudTrail Protokolldatei
Um festzustellen, ob eine Protokolldatei nach CloudTrail der Übermittlung geändert, gelöscht oder unverändert wurde, können Sie die Integritätsprüfung der CloudTrail Protokolldatei verwenden. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail Sie können den verwenden AWS CLI , um die Dateien an dem Ort zu validieren, an dem sie CloudTrail geliefert wurden.
Warum sollten Sie diese Funktion nutzen?
Validierte Protokolldateien sind bei Sicherheits- und kriminaltechnischen Ermittlungen unersetzlich. Mit einer validierten Protokolldatei können Sie beispielsweise nachweisen, dass sich die Protokolldatei selbst nicht geändert hat oder dass bestimmte Benutzeranmeldedaten eine bestimmte API Aktivität ausgeführt haben. Der Prozess zur Überprüfung der Integrität von CloudTrail Protokolldateien informiert Sie auch darüber, ob eine Protokolldatei gelöscht oder geändert wurde, oder bestätigt, dass in einem bestimmten Zeitraum keine Protokolldateien an Ihr Konto übermittelt wurden.
Funktionsweise
Wenn Sie die Überprüfung der Integrität von Protokolldateien aktivieren, CloudTrail wird für jede übermittelte Protokolldatei ein Hash erstellt. CloudTrail Außerdem wird jede Stunde eine Datei erstellt und bereitgestellt, die auf die Protokolldateien der letzten Stunde verweist und jeweils einen Hash enthält. Diese Datei wird als Digest-Datei bezeichnet. CloudTrail signiert jede Digest-Datei mit dem privaten Schlüssel eines öffentlichen und privaten key pair. Nach der Lieferung können Sie den öffentlichen Schlüssel verwenden, um die Digest-Datei zu validieren. CloudTrail verwendet jeweils AWS-Region unterschiedliche Schlüsselpaare.
Die Digest-Dateien werden an denselben Amazon S3 S3-Bucket übermittelt, der mit Ihrem Trail verknüpft ist wie Ihre CloudTrail Protokolldateien. Wenn Ihre Protokolldateien aus allen Regionen oder von mehreren Konten in einen einzigen Amazon S3 S3-Bucket geliefert CloudTrail werden, werden die Digest-Dateien aus diesen Regionen und Konten in denselben Bucket übertragen.
Die Digest-Dateien werden in einem anderen Ordner gespeichert als die Protokolldateien. Diese Trennung von Digest- und Protokolldateien ermöglicht Ihnen das Erzwingen der differenzierten Sicherheitsrichtlinien und stellt sicher, dass eine vorhandene Protokollverarbeitung ohne Änderung lauffähig bleibt. Jede Digest-Datei enthält außerdem die digitale Signatur der vorherigen Digest-Datei, sofern eine vorhanden ist. Die Signatur für die aktuelle Digest-Datei ist in den Metadaten-Eigenschaften des Amazon-S3-Objekts der Digest-Datei gespeichert. Weitere Informationen über Inhalte von Digest-Dateien finden Sie unter CloudTrail Struktur der Digest-Datei.
Speichern von Protokoll- und Digest-Dateien
Sie können die CloudTrail Protokolldateien und Digest-Dateien auf unbestimmte Zeit sicher, dauerhaft und kostengünstig in Amazon S3 oder S3 Glacier speichern. Um die Sicherheit der in Amazon S3 gespeicherten Digest-Dateien zu erhöhen, können Sie Amazon S3 MFA Delete verwenden.
Aktivieren der Validierung und Validieren der Dateien
Um die Integritätsprüfung der Protokolldatei zu aktivieren, können Sie das AWS Management Console AWS CLI, oder CloudTrail API verwenden. Wenn Sie die Integritätsprüfung für Protokolldateien aktivieren CloudTrail , können Sie Digest-Protokolldateien an Ihren Amazon S3 S3-Bucket senden, die Integrität der Dateien wird jedoch nicht überprüft. Weitere Informationen finden Sie unter Aktivierung der Integritätsprüfung der Protokolldatei für CloudTrail.
Um die Integrität von CloudTrail Protokolldateien zu überprüfen, können Sie die Lösung verwenden AWS CLI oder eine eigene Lösung erstellen. Die AWS CLI validiert Dateien an dem Ort, CloudTrail an dem sie geliefert wurden. Wenn Sie Protokolle validieren möchten, die Sie an einen anderen Speicherort, entweder in Amazon S3 oder außerhalb, verschoben haben, können Sie eigene Validierungstools entwickeln.
Informationen zur Validierung von Protokollen mithilfe von finden Sie AWS CLI unterÜberprüfen der Integrität der CloudTrail Protokolldatei mit dem AWS CLI. Hinweise zur Entwicklung benutzerdefinierter Implementierungen der CloudTrail Protokolldateiüberprüfung finden Sie unter. Benutzerdefinierte Implementierungen der CloudTrail Integritätsprüfung von Protokolldateien