Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudTrail Logdateien mit AWS KMS Schlüsseln verschlüsseln (SSE-KMS)
Standardmäßig werden die von CloudTrail an Ihren Bucket übermittelten Protokolldateien mithilfe einer serverseitigen Verschlüsselung mit einem KMS Schlüssel (SSE-KMS) verschlüsselt. Wenn Sie die SSE KMS --Verschlüsselung nicht aktivieren, werden Ihre Logs mit der SSE-S3-Verschlüsselung verschlüsselt.
Anmerkung
Wenn Sie die serverseitige Verschlüsselung aktivieren, werden die Protokolldateien, aber nicht die Digest-Dateien mit - verschlüsselt. SSE KMS Digest-Dateien werden mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) verschlüsselt.
Wenn Sie einen vorhandenen S3-Bucket mit einem S3-Bucket-Schlüssel verwenden, CloudTrail müssen Sie in der Schlüsselrichtlinie die Erlaubnis haben, die Aktionen und zu verwenden. AWS KMS GenerateDataKey DescribeKey Wenn cloudtrail.amazonaws.com diese Berechtigungen in der Schlüsselrichtlinie nicht gewährt werden, können Sie keinen Trail erstellen oder aktualisieren.
Um SSE - KMS mit zu verwenden CloudTrail, erstellen und verwalten Sie einen KMS Schlüssel, auch bekannt als AWS KMS key. Sie fügen dem Schlüssel eine Richtlinie bei, die festlegt, welche Benutzer den Schlüssel zum Verschlüsseln und Entschlüsseln von CloudTrail Protokolldateien verwenden können. Die Entschlüsselung erfolgt nahtlos über S3. Wenn autorisierte Benutzer des Schlüssels CloudTrail Protokolldateien lesen, verwaltet S3 die Entschlüsselung, und die autorisierten Benutzer können Protokolldateien in unverschlüsselter Form lesen.
Dieser Ansatz bietet folgende Vorteile:
-
Sie können die KMS Schlüssel zur Verschlüsselung selbst erstellen und verwalten.
-
Sie können einen einzigen KMS Schlüssel verwenden, um Protokolldateien für mehrere Konten in allen Regionen zu verschlüsseln und zu entschlüsseln.
-
Sie haben die Kontrolle darüber, wer Ihren Schlüssel zum Verschlüsseln und CloudTrail Entschlüsseln von Protokolldateien verwenden kann. Sie können den Benutzern in Ihrer Organisation Berechtigungen für den Schlüssel entsprechend Ihren Anforderungen zuweisen.
-
Sie profitieren von verbesserter Sicherheit. Um mit dieser Funktion Protokolldateien zu lesen, sind die folgenden Berechtigungen erforderlich:
Ein Benutzer muss über Leseberechtigungen für den S3-Bucket mit den Protokolldateien verfügen.
Auf einen Benutzer muss außerdem eine Richtlinie oder Rolle angewendet werden, die Entschlüsselungsberechtigungen anhand der KMS Schlüsselrichtlinie ermöglicht.
-
Da S3 die Protokolldateien für Anfragen von Benutzern, die zur Verwendung des KMS Schlüssels berechtigt sind, automatisch entschlüsselt, ist SSE die KMS Verschlüsselung von CloudTrail Protokolldateien mit Anwendungen, die Protokolldaten lesen, abwärtskompatibel. CloudTrail
Anmerkung
Der von Ihnen gewählte KMS Schlüssel muss in derselben AWS Region erstellt werden wie der Amazon S3 S3-Bucket, der Ihre Protokolldateien empfängt. Wenn die Protokolldateien beispielsweise in einem Bucket in der Region USA Ost (Ohio) gespeichert werden, müssen Sie einen KMS Schlüssel erstellen oder auswählen, der in dieser Region erstellt wurde. Zum Überprüfen der Region für einen Amazon-S3-Bucket sehen Sie sich die entsprechenden Eigenschaften in der Amazon-S3-Konsole an.
Aktivieren der Verschlüsselung von Protokolldateien
Anmerkung
Wenn Sie in der CloudTrail Konsole einen KMS Schlüssel erstellen, werden die erforderlichen Abschnitte mit den KMS wichtigsten Richtlinien für Sie CloudTrail hinzugefügt. Gehen Sie wie folgt vor, wenn Sie einen Schlüssel in der IAM Konsole erstellt haben oder AWS CLI die erforderlichen Richtlinienabschnitte manuell hinzufügen müssen.
Führen Sie die folgenden allgemeinen Schritte aus, um die KMS Verschlüsselung für CloudTrail Protokolldateien zu aktivierenSSE:
-
Erstellen Sie einen KMS-Schlüssel.
-
Informationen zum Erstellen eines KMS Schlüssels mit dem AWS Management Console finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.
-
Informationen zum Erstellen eines KMS Schlüssels mit dem finden Sie AWS CLI unter create-key.
Anmerkung
Der KMS Schlüssel, den Sie auswählen, muss sich in derselben Region befinden wie der S3-Bucket, der Ihre Protokolldateien empfängt. Zum Überprüfen der Region für einen S3-Bucket sehen Sie sich die Eigenschaften des Buckets in der S3-Konsole an.
-
-
Fügen Sie dem Schlüssel Richtlinienabschnitte hinzu, die das Verschlüsseln und das Entschlüsseln von Protokolldateien durch Benutzer ermöglichen CloudTrail .
-
Weitere Informationen zu den erforderlichen Inhalten der Richtlinie finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
Warnung
Stellen Sie sicher, Berechtigungen zum Entschlüsseln für alle Benutzer, die Protokolldateien lesen müssen, in die Richtlinie aufzunehmen. Wenn Sie diesen Schritt nicht ausführen, bevor Sie den Schlüssel der Trail-Konfiguration hinzufügen, können Benutzer ohne Berechtigungen zum Entschlüsseln keine verschlüsselten Dateien lesen, bis Sie ihnen diese Berechtigungen erteilen.
-
Informationen zum Bearbeiten einer Richtlinie mit der IAM Konsole finden Sie unter Bearbeiten einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.
-
Informationen zum Anhängen einer Richtlinie an einen KMS Schlüssel mit dem finden Sie AWS CLI unter put-key-policy.
-
-
Aktualisieren Sie Ihren Pfad, sodass er den KMS Schlüssel verwendet, für CloudTrail dessen Richtlinie Sie die Änderung vorgenommen haben.
-
Informationen zum Aktualisieren Ihrer Trail-Konfiguration mithilfe der CloudTrail Konsole finden Sie unterEine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden.
-
Informationen zum Aktualisieren Ihrer Trail-Konfiguration mithilfe der AWS CLI finden Sie unterAktivieren und Deaktivieren der CloudTrail Protokolldateiverschlüsselung mit dem AWS CLI.
-
CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service -Entwicklerhandbuch.
Im nächsten Abschnitt werden die Richtlinienabschnitte beschrieben, die für die Verwendung mit CloudTrail Ihrer KMS wichtigsten Richtlinie erforderlich sind.
