Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des fichiers CloudTrail journaux à l'aide de AWS KMS clés (SSE-KMS)
Par défaut, les fichiers journaux fournis par votre compartiment sont chiffrés CloudTrail à l'aide d'un chiffrement côté serveur avec une KMS clé (SSE-KMS). Si vous n'activez SSE pas le KMS chiffrement, vos journaux sont chiffrés à l'aide du chiffrement SSE -S3.
Note
L'activation du chiffrement côté serveur chiffre les fichiers journaux mais pas les fichiers de synthèse avec -. SSE KMS Les fichiers Digest sont chiffrés à l'aide de clés de chiffrement gérées par Amazon S3 (SSE-S3).
Si vous utilisez un compartiment S3 existant avec une clé de compartiment S3, vous CloudTrail devez être autorisé dans la politique des clés à utiliser les AWS KMS actions GenerateDataKey etDescribeKey. Si cloudtrail.amazonaws.com n'est pas accordé ces autorisations dans la politique de clé, vous ne pouvez pas créer ou mettre à jour un journal de suivi.
Pour utiliser SSE - KMS with CloudTrail, vous créez et gérez une KMS clé, également appelée AWS KMS key. Vous attachez une politique à la clé qui détermine quels utilisateurs peuvent utiliser la clé pour chiffrer et déchiffrer CloudTrail les fichiers journaux. Le déchiffrement est transparent via S3. Lorsque les utilisateurs autorisés de la clé lisent les fichiers CloudTrail journaux, S3 gère le déchiffrement et les utilisateurs autorisés peuvent lire les fichiers journaux sous forme non chiffrée.
Cette méthode offre les avantages suivants :
-
Vous pouvez créer et gérer vous-même les KMS clés de chiffrement.
-
Vous pouvez utiliser une seule KMS clé pour chiffrer et déchiffrer les fichiers journaux de plusieurs comptes dans toutes les régions.
-
Vous pouvez contrôler qui peut utiliser votre clé pour chiffrer et déchiffrer CloudTrail les fichiers journaux. Vous pouvez attribuer des autorisations pour la clé aux utilisateurs de votre organisation selon vos besoins.
-
Vous bénéficiez d'une sécurité renforcée. Grâce à cette fonctionnalité, la lecture des fichiers journaux, requiert les autorisations suivantes :
Un utilisateur doit avoir des autorisations de lecture S3 pour le compartiment qui contient les fichiers journaux.
Un utilisateur doit également disposer d'une politique ou d'un rôle permettant de déchiffrer les autorisations selon la politique KMS clé.
-
Comme S3 déchiffre automatiquement les fichiers journaux pour les demandes des utilisateurs autorisés à utiliser la KMS clé, SSE le KMS chiffrement des fichiers CloudTrail journaux est rétrocompatible avec les applications qui lisent les données des journaux. CloudTrail
Note
La KMS clé que vous choisissez doit être créée dans la même AWS région que le compartiment Amazon S3 qui reçoit vos fichiers journaux. Par exemple, si les fichiers journaux doivent être stockés dans un bucket dans la région USA Est (Ohio), vous devez créer ou choisir une KMS clé créée dans cette région. Pour vérifier la région pour un compartiment Amazon S3, examinez ses propriétés dans la console Amazon S3.
Activation du chiffrement de fichier journaux
Note
Si vous créez une KMS clé dans la CloudTrail console, elle CloudTrail ajoute les sections de politique KMS clés requises pour vous. Suivez ces procédures si vous avez créé une clé dans la IAM console ou AWS CLI si vous devez ajouter manuellement les sections de politique requises.
Pour activer SSE KMS le chiffrement des fichiers CloudTrail journaux, effectuez les étapes de haut niveau suivantes :
-
Créez une clé KMS.
-
Pour plus d'informations sur la création d'une KMS clé à l'aide du AWS Management Console, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.
-
Pour plus d'informations sur la création d'une KMS clé avec le AWS CLI, voir create-key.
Note
La KMS clé que vous choisissez doit se trouver dans la même région que le compartiment S3 qui reçoit vos fichiers journaux. Pour vérifier la région pour un compartiment S3, examinez les propriétés du compartiment dans la console S3.
-
-
Ajoutez des sections de politique à la clé qui permettent CloudTrail de chiffrer les fichiers journaux et aux utilisateurs de les déchiffrer.
-
Pour plus d'informations sur ce qu'il convient d'inclure dans la politique, consultez la page Configurer les politiques AWS KMS clés pour CloudTrail.
Avertissement
Veillez à inclure les autorisations de déchiffrement dans les règles pour tous les utilisateurs qui ont besoin de lire les fichiers journaux. Si vous n'effectuez pas cette étape avant d'ajouter la clé à la configuration de votre journal d'activité, les utilisateurs ne disposant pas d'autorisations de déchiffrement ne peuvent pas lire les fichiers chiffrés jusqu'à ce que vous leur accordiez ces autorisations.
-
Pour plus d'informations sur la modification d'une politique à l'aide de la IAM console, consultez la section Modification d'une politique clé dans le guide du AWS Key Management Service développeur.
-
Pour plus d'informations sur l'attachement d'une politique à une KMS clé avec le AWS CLI, consultez put-key-policy.
-
-
Mettez à jour votre historique pour utiliser la KMS clé pour laquelle vous avez modifié la politique CloudTrail.
-
Pour mettre à jour la configuration de votre parcours à l'aide de la CloudTrail console, consultezMettre à jour une ressource pour utiliser votre KMS clé avec la console.
-
Pour mettre à jour la configuration de votre parcours à l'aide du AWS CLI, voirActivation et désactivation du chiffrement des fichiers CloudTrail journaux à l'aide du AWS CLI.
-
CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .
La section suivante décrit les sections de stratégie avec lesquelles votre politique KMS clé doit être utilisée CloudTrail.
