Comment AWS CloudTrail utilise AWS KMS - AWS Key Management Service
Comprendre quand votre KMS clé est utilisée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment AWS CloudTrail utilise AWS KMS

Vous pouvez l'utiliser AWS CloudTrail pour enregistrer des AWS API appels et d'autres activités pour votre compte Compte AWS et pour enregistrer les informations enregistrées dans des fichiers journaux dans un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix. Par défaut, les fichiers journaux placés dans votre compartiment S3 sont chiffrés à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (-S3). CloudTrail SSE Mais vous pouvez choisir d'utiliser plutôt le chiffrement côté serveur avec une KMS clé (SSE-KMS). Pour savoir comment chiffrer vos fichiers CloudTrail journaux avec AWS KMS, consultez la section Chiffrer les fichiers CloudTrail journaux avec AWS KMS keys (SSE-KMS) dans le guide de l'AWS CloudTrail utilisateur.

Important

AWS CloudTrail et Amazon S3 ne prend en charge que la symétrie AWS KMS keys. Vous ne pouvez pas utiliser de KMSclé asymétrique pour chiffrer vos CloudTrail journaux. Pour savoir si une KMS clé est symétrique ou asymétrique, consultez. Identifier les différents types de clés

Vous ne payez pas de frais d'utilisation des clés lorsque CloudTrail vous lisez ou écrivez des fichiers journaux chiffrés avec une KMS clé SSE -. Toutefois, vous payez des frais d'utilisation des clés lorsque vous accédez à des fichiers CloudTrail journaux chiffrés avec une KMS clé SSE -. Pour plus d'informations sur la AWS KMS tarification, consultez la section AWS Key Management Service Tarification. Pour plus d'informations sur la CloudTrail tarification, consultez AWS CloudTrail les sections Tarification et Gestion des coûts dans le Guide de AWS CloudTrail l'utilisateur.

Comprendre quand votre KMS clé est utilisée

Chiffrement des fichiers CloudTrail journaux à l'aide de AWS KMS versions basées sur la fonctionnalité Amazon S3 appelée chiffrement côté serveur avec un AWS KMS key (SSE-). KMS Pour en savoir plus sur SSE -KMS, consultez la section Protection des données à l'aide du chiffrement côté serveur à l'aide de KMS clés (SSE-KMS) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Lorsque vous configurez AWS CloudTrail pour utiliser SSE - KMS pour chiffrer vos fichiers journaux, Amazon S3 utilise CloudTrail les vôtres AWS KMS keys lorsque vous effectuez certaines actions avec ces services. Les sections suivantes expliquent quand et comment ces services peuvent utiliser votre KMS clé, et fournissent des informations supplémentaires que vous pouvez utiliser pour valider cette explication.

Vous configurez CloudTrail pour crypter les fichiers journaux avec votre AWS KMS key

Lorsque vous mettez à jour votre CloudTrail configuration pour utiliser votre KMS clé, CloudTrail envoie une GenerateDataKeydemande AWS KMS pour vérifier que la KMS clé existe et que CloudTrail vous êtes autorisé à l'utiliser pour le chiffrement. CloudTrail n'utilise pas la clé de données obtenue.

La demande GenerateDataKey inclut les informations suivantes pour le contexte de chiffrement :

La GenerateDataKey demande entraîne une entrée dans vos CloudTrail journaux, comme dans l'exemple suivant. Lorsque vous voyez une entrée de journal comme celle-ci, vous pouvez déterminer que CloudTrail ( Red circle with number 1 inside, indicating a numerical step or priority. ) a appelé l' AWS KMS GenerateDataKeyopération ( Red circle with number 3 inside, indicating a step or sequence number. ) pour un suivi spécifique ( Red circle with number 4 inside, likely representing a notification or count indicator. ). Red circle with number 2 inside, likely representing a step or item in a sequence. AWS KMS a créé la clé de données sous une KMS clé spécifique ( Red circle with white number 3 inside, indicating a step or sequence number. ).

Note

Vous devrez peut-être faire défiler l'affichage vers la droite pour voir certaines des alertes dans l'exemple suivant d'entrée de journal.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail",Red circle with number 1 inside, indicating a numerical step or priority.
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "userName": "AWSCloudTrail",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T21:15:33Z"
    }},
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:33Z",
  "eventSource": "kms.amazonaws.com",Red circle with number 2 inside, likely representing a step or item in a sequence.
  "eventName": "GenerateDataKey",Red circle with number 3 inside, indicating a step or sequence number.
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAliasForCloudTrailKMS key",
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",Red circle with number 4 inside, likely representing a notification or count indicator.
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/"
    },
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "581f1f11-88b9-11e5-9c9c-595a1fb59ac0",
  "eventID": "3cdb2457-c035-4890-93b6-181832b9e766",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",Red circle with white number 3 inside, indicating a step or sequence number.
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

CloudTrail place un fichier journal dans votre compartiment S3

Chaque fois CloudTrail qu'un fichier journal est placé dans votre compartiment S3, Amazon S3 envoie une GenerateDataKeydemande AWS KMS au nom de CloudTrail. En réponse à cette demande, AWS KMS génère une clé de données unique, puis envoie à Amazon S3 deux copies de la clé de données, l'une en texte brut et l'autre chiffrée avec la KMS clé spécifiée. Amazon S3 utilise la clé de données en texte brut pour chiffrer le fichier CloudTrail journal, puis la supprime de la mémoire dès que possible après utilisation. Amazon S3 stocke la clé de données chiffrée sous forme de métadonnées dans le fichier CloudTrail journal chiffré.

La demande GenerateDataKey inclut les informations suivantes pour le contexte de chiffrement :

Chaque GenerateDataKey demande entraîne une entrée dans vos CloudTrail journaux, comme dans l'exemple suivant. Lorsque vous voyez une entrée de journal comme celle-ci, vous pouvez déterminer que CloudTrail ( Red circle with number 1 inside, indicating a numerical step or priority. ) a appelé l' AWS KMS GenerateDataKeyopération ( Red circle with number 3 inside, indicating a step or sequence number. ) pour un suivi spécifique ( Red circle with number 4 inside, likely representing a notification or count indicator. ) afin de protéger un fichier journal spécifique ( Red circle with white number 3 inside, indicating a step or sequence number. ). Red circle with number 2 inside, likely representing a step or item in a sequence. AWS KMS a créé la clé de données sous la KMS clé spécifiée ( Red circle with white letter B inside, representing a logo or icon. ), affichée deux fois dans la même entrée de journal.

Note

Vous devrez peut-être faire défiler l'affichage vers la droite pour voir certaines des alertes dans l'exemple suivant d'entrée de journal.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85",
    "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85",Red circle with number 1 inside, indicating a numerical step or priority.
    "accountId": "086441151436",
    "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-11-11T20:45:25Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::086441151436:role/AWSCloudTrail",
        "accountId": "086441151436",
        "userName": "AWSCloudTrail"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:15:58Z",
  "eventSource": "kms.amazonaws.com",Red circle with number 2 inside, likely representing a step or item in a sequence.
  "eventName": "GenerateDataKey",Red circle with number 3 inside, indicating a step or sequence number.
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",Red circle with number 4 inside, likely representing a notification or count indicator.
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"Red circle with white number 3 inside, indicating a step or sequence number.
    },
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",Red circle with white letter B inside, representing a logo or icon.
    "keySpec": "AES_256"
  },
  "responseElements": null,
  "requestID": "66f3f74a-88b9-11e5-b7fb-63d925c72ffe",
  "eventID": "7738554f-92ab-4e27-83e3-03354b1aa898",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",Red circle with white letter B inside, representing a logo or icon.
    "accountId": "111122223333"
  }],
  "eventType": "AwsServiceEvent",
  "recipientAccountId": "111122223333"
}

Vous obtenez un fichier journal chiffré à partir de votre compartiment S3

Chaque fois que vous recevez un fichier CloudTrail journal chiffré depuis votre compartiment S3, Amazon S3 envoie une Decryptdemande à en votre AWS KMS nom pour déchiffrer la clé de données chiffrée du fichier journal. En réponse à cette demande, AWS KMS utilise votre KMS clé pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à Amazon S3. Amazon S3 utilise la clé de données en texte brut pour déchiffrer le fichier CloudTrail journal, puis la supprime de la mémoire dès que possible après utilisation.

La demande Decrypt inclut les informations suivantes pour le contexte de chiffrement :

Chaque Decrypt demande entraîne une entrée dans vos CloudTrail journaux, comme dans l'exemple suivant. Lorsque vous voyez une entrée de journal comme celle-ci, vous pouvez déterminer qu'un utilisateur de votre Compte AWS ( Red circle with number 1 inside, indicating a numerical step or priority. ) a appelé l' AWS KMS Decryptopération ( Red circle with number 3 inside, indicating a step or sequence number. ) pour un journal spécifique ( Red circle with number 4 inside, likely representing a notification or count indicator. ) et un fichier journal spécifiques ( Red circle with white number 3 inside, indicating a step or sequence number. ). Red circle with number 2 inside, likely representing a step or item in a sequence. AWS KMS a déchiffré la clé de données sous une KMS clé spécifique (). Red circle with white letter B inside, representing a logo or icon.

Note

Vous devrez peut-être faire défiler l'affichage vers la droite pour voir certaines des alertes dans l'exemple suivant d'entrée de journal.

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin",Red circle with number 1 inside, indicating a numerical step or priority.
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "userName": "cloudtrail-admin",
    "sessionContext": {"attributes": {
      "mfaAuthenticated": "false",
      "creationDate": "2015-11-11T20:48:04Z"
    }},
    "invokedBy": "signin.amazonaws.com"
  },
  "eventTime": "2015-11-11T21:20:52Z",
  "eventSource": "kms.amazonaws.com",Red circle with number 2 inside, likely representing a step or item in a sequence.
  "eventName": "Decrypt",Red circle with number 3 inside, indicating a step or sequence number.
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:cloudtrail:arn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/Default",Red circle with number 4 inside, likely representing a notification or count indicator.
      "aws:s3:arn": "arn:aws:s3:::example-bucket-for-CT-logs/AWSLogs/111122223333/CloudTrail/us-west-2/2015/11/11/111122223333_CloudTrail_us-west-2_20151111T2115Z_7JREEBimdK8d2nC9.json.gz"Red circle with white number 3 inside, indicating a step or sequence number.
    }
  },
  "responseElements": null,
  "requestID": "16a0590a-88ba-11e5-b406-436f15c3ac01",
  "eventID": "9525bee7-5145-42b0-bed5-ab7196a16daa",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",Red circle with white letter B inside, representing a logo or icon.
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}