Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan infrastruktur di AWS CloudTrail
Sebagai layanan terkelola, AWS CloudTrail dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud
Anda menggunakan API panggilan yang AWS dipublikasikan untuk mengakses CloudTrail melalui jaringan. Klien harus mendukung hal-hal berikut:
-
Keamanan Lapisan Transportasi (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
-
Suite cipher dengan kerahasiaan maju yang sempurna (PFS) seperti (Ephemeral Diffie-Hellman) atau DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani dengan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan IAM prinsipal. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
Praktik terbaik keamanan berikut juga membahas keamanan infrastruktur di CloudTrail:
-
Pertimbangkan VPC titik akhir Amazon untuk akses bucket Amazon S3. Untuk informasi selengkapnya, lihat Mengontrol akses dari VPC titik akhir dengan kebijakan bucket.
-
Identifikasi dan audit semua bucket Amazon S3 yang berisi CloudTrail file log. Pertimbangkan untuk menggunakan tag untuk membantu mengidentifikasi CloudTrail jejak Anda dan bucket Amazon S3 yang CloudTrail berisi file log. Anda kemudian dapat menggunakan grup sumber daya untuk CloudTrail sumber daya Anda. Untuk informasi selengkapnya, lihat AWS Resource Groups.
