Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de archivos de CloudTrail registro con AWS KMS claves (SSE-KMS)
De forma predeterminada, los archivos de registro que envía CloudTrail a su depósito se cifran mediante el cifrado del lado del servidor con una KMS clave (SSE-KMS). Si no habilitas el KMS cifrado SSE -, tus registros se cifrarán mediante el cifrado SSE-S3.
nota
Al habilitar el cifrado del lado del servidor, se cifran los archivos de registro, pero no los archivos de resumen, con -. SSE KMS Los archivos de resumen se cifran con claves de cifrado administradas por Amazon S3 (SSE-S3).
Si utiliza un bucket de S3 existente con una clave de bucket de S3, CloudTrail debe tener permiso en la política de claves para utilizar las AWS KMS acciones y. GenerateDataKey DescribeKey Si cloudtrail.amazonaws.com no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.
Para usarla SSE CloudTrail, KMS debes crear y administrar una KMS clave, también conocida como AWS KMS key. Adjunta una política a la clave que determina qué usuarios pueden utilizarla para cifrar y descifrar los archivos de CloudTrail registro. El proceso de descifrado transcurre de manera fluida a través de S3. Cuando los usuarios autorizados de la clave leen los archivos de CloudTrail registro, S3 gestiona el descifrado y los usuarios autorizados pueden leer los archivos de registro sin cifrar.
Este enfoque tiene las siguientes ventajas:
-
Puede crear y administrar las claves de cifrado de KMS claves usted mismo.
-
Puede usar una sola KMS clave para cifrar y descifrar los archivos de registro de varias cuentas en todas las regiones.
-
Usted controla quién puede usar su clave para cifrar y descifrar CloudTrail los archivos de registro. Puede asignar permisos para la clave a los usuarios de su organización, según sus requisitos.
-
Aumenta la seguridad. Con esta característica, se necesitan los siguientes permisos para poder leer archivos de registros:
Un usuario debe tener permisos de lectura de S3 para el bucket que contiene los archivos de registro.
El usuario también debe tener una política o función aplicada que permita descifrar los permisos según la KMS política de claves.
-
Como S3 descifra automáticamente los archivos de registro para las solicitudes de los usuarios autorizados a usar la KMS clave, SSE el KMS cifrado de los archivos de CloudTrail registro es compatible con versiones anteriores de las aplicaciones que leen datos de registro. CloudTrail
nota
La KMS clave que elija debe crearse en la misma AWS región que el bucket de Amazon S3 que recibe los archivos de registro. Por ejemplo, si los archivos de registro se van a almacenar en un depósito en la región EE.UU. Este (Ohio), debe crear o elegir una KMS clave que se haya creado en esa región. Para verificar la región a la que pertenece un bucket de Amazon S3, consulte sus propiedades en la consola de Amazon S3.
Activación del cifrado de los archivos de registro
nota
Si crea una KMS clave en la CloudTrail consola, CloudTrail añade automáticamente las secciones KMS clave de la política necesarias. Siga estos procedimientos si ha creado una clave en la IAM consola o AWS CLI si necesita añadir manualmente las secciones de política necesarias.
Para activar el SSE KMS cifrado de los archivos de CloudTrail registro, lleve a cabo los siguientes pasos generales:
-
Crea una clave de KMS.
-
Para obtener información sobre cómo crear una KMS clave con AWS Management Console, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.
-
Para obtener información sobre cómo crear una KMS clave con AWS CLI, consulte create-key.
nota
La KMS clave que elija debe estar en la misma región que el depósito de S3 que recibe los archivos de registro. Para verificar la región a la que pertenece un bucket de S3, inspecciones las propiedades del bucket en la consola de S3.
-
-
Agregue secciones de políticas a la clave que permitan cifrar y CloudTrail a los usuarios descifrar los archivos de registro.
-
Para obtener información sobre qué es lo que debe incluir en la política, consulte Configurar políticas AWS KMS clave para CloudTrail.
aviso
Asegúrese de incluir permisos de descifrado en la política para todos los usuarios que necesitan leer archivos de registro. Si no realiza este paso antes de añadir la clave a la configuración del registro de seguimiento, los usuarios que no dispongan de permisos de descifrado no podrán leer archivos cifrados hasta que les conceda esos permisos.
-
Para obtener información sobre cómo editar una política con la IAM consola, consulte Edición de una política clave en la Guía para AWS Key Management Service desarrolladores.
-
Para obtener información sobre cómo adjuntar una política a una KMS clave con el AWS CLI, consulte put-key-policy.
-
-
Actualice su registro para usar la KMS clave cuya póliza modificó. CloudTrail
-
Para actualizar la configuración del sendero mediante la CloudTrail consola, consulteActualizar un recurso para usar tu KMS clave con la consola.
-
Para actualizar la configuración de su sendero mediante el AWS CLI, consulteActivación y desactivación del cifrado de archivos de CloudTrail registro con AWS CLI.
-
CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .
En la siguiente sección, se describen las secciones de política con CloudTrail las que se debe utilizar su política KMS clave.
