Lokasi file Digest Contoh isi file intisari Deskripsi bidang file Digest Memulai file digest File cerna 'Kosong'Tanda tangan dari file intisari Mencerna rantai file

CloudTrail struktur file digest

Setiap file digest berisi nama file log yang dikirimkan ke bucket Amazon S3 Anda selama satu jam terakhir, nilai hash untuk file log tersebut, dan tanda tangan digital dari file intisari sebelumnya. Tanda tangan untuk file intisari saat ini disimpan dalam properti metadata dari objek file digest. Tanda tangan digital dan hash digunakan untuk memvalidasi integritas file log dan file digest itu sendiri.

Lokasi file Digest

File Digest dikirim ke lokasi bucket Amazon S3 yang mengikuti sintaks ini.


s3://amzn-s3-demo-bucket/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/
    region/digest-end-year/digest-end-month/digest-end-date/
    aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

catatan

Untuk jalur organisasi, lokasi bucket juga menyertakan ID unit organisasi, sebagai berikut:


s3://amzn-s3-demo-bucket/optional-prefix/AWSLogs/O-ID/aws-account-id/CloudTrail-Digest/
    region/digest-end-year/digest-end-month/digest-end-date/
    aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Contoh isi file intisari

Contoh file digest berikut berisi informasi untuk CloudTrail log.


{
  "awsAccountId": "111122223333",
  "digestStartTime": "2015-08-17T14:01:31Z",
  "digestEndTime": "2015-08-17T15:01:31Z",
  "digestS3Bucket": "amzn-s3-demo-bucket",
  "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T150131Z.json.gz",
  "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff",
  "digestSignatureAlgorithm": "SHA256withRSA",
  "newestEventTime": "2015-08-17T14:52:27Z",
  "oldestEventTime": "2015-08-17T14:42:27Z",
  "previousDigestS3Bucket": "amzn-s3-demo-bucket",
  "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T140131Z.json.gz",
  "previousDigestHashValue": "97fb791cf91ffc440d274f8190dbdd9aa09c34432aba82739df18b6d3c13df2d",
  "previousDigestHashAlgorithm": "SHA-256",
  "previousDigestSignature": "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",
  "logFiles": [
    {
      "s3Bucket": "amzn-s3-demo-bucket",
      "s3Object": "AWSLogs/111122223333/CloudTrail/us-east-2/2015/08/17/111122223333_CloudTrail_us-east-2_20150817T1445Z_9nYN7gp2eWAJHIfT.json.gz",
      "hashValue": "9bb6196fc6b84d6f075a56548feca262bd99ba3c2de41b618e5b6e22c1fc71f6",
      "hashAlgorithm": "SHA-256",
      "newestEventTime": "2015-08-17T14:52:27Z",
      "oldestEventTime": "2015-08-17T14:42:27Z"
    }
  ]
}

Deskripsi bidang file Digest

Berikut ini adalah deskripsi untuk setiap bidang dalam file intisari:

awsAccountId: ID AWS akun tempat file intisari telah dikirimkan.

digestStartTime: Rentang UTC waktu mulai yang dicakup oleh file digest, mengambil sebagai referensi waktu di mana file log telah dikirim oleh CloudTrail. Ini berarti bahwa jika rentang waktunya [Ta, Tb], intisari akan berisi semua file log yang dikirimkan ke pelanggan antara Ta dan Tb.

digestEndTime: Rentang UTC waktu akhir yang dicakup oleh file digest, mengambil sebagai referensi waktu di mana file log telah dikirim oleh CloudTrail. Ini berarti bahwa jika rentang waktunya [Ta, Tb], intisari akan berisi semua file log yang dikirimkan ke pelanggan antara Ta dan Tb.

digestS3Bucket: Nama bucket Amazon S3 tempat file intisari saat ini telah dikirimkan.

digestS3Object: Kunci objek Amazon S3 (yaitu, lokasi bucket Amazon S3) dari file intisari saat ini. Dua Wilayah pertama dalam string menunjukkan Wilayah dari mana file intisari dikirim. Wilayah terakhir (setelahyour-trail-name) adalah Wilayah asal jalan setapak. Wilayah asal adalah Wilayah tempat jejak itu dibuat. Dalam kasus jejak Multi-wilayah, ini bisa berbeda dari Wilayah tempat file intisari dikirim.

newestEventTime: UTCWaktu acara terbaru di antara semua peristiwa dalam file log di intisari.

oldestEventTime: UTCWaktu acara tertua di antara semua peristiwa dalam file log di intisari.

catatan
Jika file digest dikirim terlambat, nilai oldestEventTime akan lebih awal dari nilai. digestStartTime

previousDigestS3Bucket: Bucket Amazon S3 tempat file intisari sebelumnya dikirimkan.

previousDigestS3Object: Kunci objek Amazon S3 (yaitu, lokasi bucket Amazon S3) dari file intisari sebelumnya.

previousDigestHashValue: Nilai hash yang dikodekan heksadesimal dari konten yang tidak terkompresi dari file intisari sebelumnya.

previousDigestHashAlgorithm: Nama algoritma hash yang digunakan untuk hash file digest sebelumnya.

publicKeyFingerprint: Sidik jari heksadesimal yang dikodekan dari kunci publik yang cocok dengan kunci pribadi yang digunakan untuk menandatangani file intisari ini. Anda dapat mengambil kunci publik untuk rentang waktu yang sesuai dengan file intisari dengan menggunakan AWS CLI atau. CloudTrail API Dari kunci publik yang dikembalikan, kunci yang sidik jarinya cocok dengan nilai ini dapat digunakan untuk memvalidasi file intisari. Untuk informasi tentang mengambil kunci publik untuk file intisari, lihat AWS CLI list-public-keysperintah atau. CloudTrail ListPublicKeysAPI

catatan
CloudTrail menggunakan pasangan kunci pribadi/publik yang berbeda per Wilayah. Setiap file intisari ditandatangani dengan kunci pribadi yang unik untuk Wilayahnya. Oleh karena itu, ketika Anda memvalidasi file intisari dari Wilayah tertentu, Anda harus mencari di Wilayah yang sama untuk kunci publik yang sesuai.

digestSignatureAlgorithm: Algoritma yang digunakan untuk menandatangani file digest.

logFiles.s3Bucket: Nama bucket Amazon S3 untuk file log.

logFiles.s3Object: Kunci objek Amazon S3 dari file log saat ini.

logFiles.newestEventTime: UTCWaktu acara terbaru dalam file log. Kali ini juga sesuai dengan cap waktu dari file log itu sendiri.

logFiles.oldestEventTime: UTCWaktu acara tertua dalam file log.

logFiles.hashValue: Nilai hash yang dikodekan heksadesimal dari konten file log yang tidak terkompresi.

logFiles.hashAlgorithm: Algoritma hash digunakan untuk hash file log.

Memulai file digest

Ketika validasi integritas file log dimulai, file intisari awal akan dihasilkan. File intisari awal juga akan dihasilkan ketika validasi integritas file log dimulai ulang (dengan menonaktifkan dan kemudian mengaktifkan kembali validasi integritas file log, atau dengan menghentikan logging dan kemudian memulai kembali logging dengan validasi diaktifkan). Dalam file intisari awal, bidang berikut yang berkaitan dengan file intisari sebelumnya akan menjadi nol:

previousDigestS3Bucket
previousDigestS3Object
previousDigestHashValue
previousDigestHashAlgorithm
previousDigestSignature

File cerna 'Kosong'

CloudTrail akan mengirimkan file intisari bahkan ketika tidak ada API aktivitas di akun Anda selama periode satu jam yang diwakili oleh file intisari. Ini dapat berguna ketika Anda perlu menegaskan bahwa tidak ada file log yang dikirim selama jam yang dilaporkan oleh file digest.

Contoh berikut menunjukkan isi file digest yang direkam satu jam ketika tidak ada API aktivitas yang terjadi. Perhatikan bahwa logFiles:[ ] bidang di akhir isi file digest kosong.


{
  "awsAccountId": "111122223333",
  "digestStartTime": "2015-08-20T17:01:31Z",
  "digestEndTime": "2015-08-20T18:01:31Z",
  "digestS3Bucket": "amzn-s3-demo-bucket",
  "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T180131Z.json.gz",
  "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff",
  "digestSignatureAlgorithm": "SHA256withRSA",
  "newestEventTime": null,
  "oldestEventTime": null,
  "previousDigestS3Bucket": "amzn-s3-demo-bucket",
  "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T170131Z.json.gz",
  "previousDigestHashValue": "ed96c4bac9eaa8fe9716ca0e515da51938be651b1db31d781956416a9d05cdfa",
  "previousDigestHashAlgorithm": "SHA-256",
  "previousDigestSignature": "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",
  "logFiles": []
}

Tanda tangan dari file intisari

Informasi tanda tangan untuk file intisari terletak di dua properti metadata objek objek file intisari Amazon S3. Setiap file digest memiliki entri metadata berikut:

x-amz-meta-signature

Nilai enkode heksadesimal dari tanda tangan file digest. Berikut ini adalah contoh tanda tangan:



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

x-amz-meta-signature-algorithm

Berikut ini menunjukkan nilai contoh algoritma yang digunakan untuk menghasilkan tanda tangan intisari:

SHA256withRSA

Mencerna rantai file

Fakta bahwa setiap file intisari berisi referensi ke file intisari sebelumnya memungkinkan “rantai” yang memungkinkan alat validasi seperti AWS CLI untuk mendeteksi apakah file intisari telah dihapus. Ini juga memungkinkan file intisari dalam rentang waktu tertentu untuk diperiksa secara berturut-turut, dimulai dengan yang terbaru terlebih dahulu.

catatan

Saat Anda menonaktifkan validasi integritas file log, rantai file intisari rusak setelah satu jam. CloudTrail tidak akan membuat file digest untuk file log yang dikirim selama periode di mana validasi integritas file log dinonaktifkan. Misalnya, jika Anda mengaktifkan validasi integritas berkas log pada siang hari tanggal 1 Januari, menonaktifkannya pada siang hari tanggal 2 Januari, dan mengaktifkan kembali pada siang hari tanggal 10 Januari, file digest tidak akan dibuat untuk berkas log yang dikirim pada siang hari tanggal 2 Januari hingga siang hari tanggal 10 Januari. Hal yang sama berlaku setiap kali Anda berhenti CloudTrail mencatat atau menghapus jejak.

Jika kebijakan bucket S3 trail Anda salah dikonfigurasi atau CloudTrail mengalami gangguan layanan yang tidak terduga, Anda mungkin tidak menerima semua atau beberapa file intisari. Untuk mengonfirmasi apakah jejak Anda memiliki kesalahan pengiriman intisari, jalankan get-trail-statusperintah dan periksa LatestDigestDeliveryError parameter untuk kesalahan. Setelah masalah pengiriman diselesaikan (misalnya, dengan memperbaiki kebijakan bucket), CloudTrail akan mencoba mengirimkan ulang file intisari yang hilang. Selama periode pengiriman ulang, file intisari mungkin dikirim rusak, sehingga rantai mungkin sementara tampak rusak.

Jika logging dihentikan atau jejak dihapus, CloudTrail akan mengirimkan file intisari akhir. File digest ini dapat berisi informasi untuk file log yang tersisa yang mencakup peristiwa hingga dan termasuk StopLogging acara.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memvalidasi integritas file CloudTrail log dengan AWS CLI

Implementasi kustom validasi integritas file CloudTrail log