Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Validation de l' CloudTrail intégrité du fichier journal
Pour déterminer si un fichier journal a été modifié, supprimé ou inchangé après sa CloudTrail livraison, vous pouvez utiliser la validation de l'intégrité du fichier CloudTrail journal. Cette fonctionnalité est développée à l'aide d'algorithmes standard : SHA -256 pour le hachage et SHA -256 RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. Vous pouvez utiliser le AWS CLI pour valider les fichiers à l'endroit où ils CloudTrail ont été livrés.
Pourquoi l'utiliser ?
Les fichiers journaux validés s'avèrent utiles lors d'enquêtes de sécurité et légales. Par exemple, un fichier journal validé vous permet d'affirmer avec certitude que le fichier journal lui-même n'a pas changé ou que des informations d'identification utilisateur spécifiques ont effectué une API activité spécifique. Le processus de validation de l'intégrité des fichiers CloudTrail journaux vous permet également de savoir si un fichier journal a été supprimé ou modifié, ou de confirmer qu'aucun fichier journal n'a été envoyé à votre compte pendant une période donnée.
Comment ça marche
Lorsque vous activez la validation de l'intégrité du fichier journal, il CloudTrail crée un hachage pour chaque fichier journal fourni. Chaque heure, il crée et diffuse CloudTrail également un fichier qui fait référence aux fichiers journaux de la dernière heure et contient un hachage de chacun d'entre eux. Ce fichier s'appelle un fichier condensé. CloudTrail signe chaque fichier condensé à l'aide de la clé privée d'une paire de clés publique et privée. Après la livraison, vous pouvez utiliser la clé publique pour valider le fichier condensé. CloudTrail utilise des paires de clés différentes pour chacune d'entre elles Région AWS.
Les fichiers de résumé sont envoyés dans le même compartiment Amazon S3 associé à votre trace que vos fichiers CloudTrail journaux. Si vos fichiers journaux proviennent de toutes les régions ou de plusieurs comptes dans un seul compartiment Amazon S3, les fichiers de synthèse de ces régions et comptes CloudTrail seront transférés dans le même compartiment.
Les fichiers de valeur de hachage sont placés dans un dossier distinct de celui des fichiers-journaux. Cette séparation des fichiers de valeur de hachage et des fichiers journaux permet de mettre en application des stratégies de sécurité granulaires et permet aux solutions de traitement de fichiers journaux existantes de continuer à fonctionner sans modification. Chaque fichier de valeur de hachage contient également la signature numérique du fichier de valeur de hachage précédent, le cas échéant. La signature du fichier de valeur de hachage actuel se trouve dans les propriétés de métadonnées de l'objet Amazon S3 du fichier de valeur de hachage. Pour plus d'informations sur le contenu du fichier de valeur de hachage, consultez la page CloudTrail structure du fichier digest.
Stockage des fichiers journaux et des fichiers de valeur de hachage
Vous pouvez stocker les fichiers CloudTrail journaux et les fichiers de synthèse dans Amazon S3 ou S3 Glacier de manière sécurisée, durable et économique pendant une durée indéterminée. Pour améliorer la sécurité des fichiers de synthèse stockés dans Amazon S3, vous pouvez utiliser Amazon S3 MFA Delete.
Activer la validation et les fichiers de validation
Pour activer la validation de l'intégrité du fichier journal AWS Management Console, vous pouvez utiliser le AWS CLI, ou CloudTrail API. L'activation de la validation de l'intégrité CloudTrail des fichiers journaux permet de fournir des fichiers journaux de synthèse à votre compartiment Amazon S3, mais ne valide pas l'intégrité des fichiers. Pour plus d’informations, consultez Activation de la validation de l'intégrité des fichiers journaux pour CloudTrail.
Pour valider l'intégrité des fichiers CloudTrail journaux, vous pouvez utiliser AWS CLI ou créer votre propre solution. Les fichiers AWS CLI seront validés à l'endroit où ils CloudTrail ont été livrés. Si vous souhaitez valider les journaux que vous avez déplacé vers un autre emplacement, dans Amazon S3 ou ailleurs, vous pouvez créer vos propres outils de validation.
Pour plus d'informations sur la validation des journaux à l'aide du AWS CLI, consultezValidation de l'intégrité du fichier CloudTrail journal à l'aide du AWS CLI. Pour plus d'informations sur le développement d'implémentations personnalisées de la validation des fichiers CloudTrail journaux, consultezImplémentations personnalisées de validation de l'intégrité des fichiers CloudTrail journaux.