本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS KMS 金鑰加密 CloudTrail 記錄檔 (SSE-KMS)
根據預設,傳送 CloudTrail 至儲存貯體的記錄檔會使用伺服器端加密與KMS金鑰 (SSE-KMS) 來加密。如果您未啟用 SSE-KMS 加密,您的日誌會使用 SSE-S3 加密進行加密。
注意
啟用伺服器端加密會使記錄檔加密,但不會使用 SSE-KMS 來加密摘要檔。摘要檔案會使用 Amazon S3 受管加密金鑰 (SSE-S3) 進行加密。
如果您將現有 S3 儲存貯體與 S3 儲存貯體金鑰搭配使用,則 CloudTrail 必須獲得金鑰政策中的許可,才能使用 AWS KMS 動作GenerateDataKey和DescribeKey。如果 cloudtrail.amazonaws.com 未授與金鑰政策中的這些許可,則無法建立或更新追蹤。
要使KMS用 SSE- CloudTrail,您可以創建和管理KMS密鑰,也稱為 AWS KMS key. 您可以將原則附加至金鑰,以決定哪些使用者可以使用金鑰來加密和解密 CloudTrail 記錄檔。解密是透過 S3 無縫進行。當獲得授權的金鑰使用者讀取 CloudTrail 日誌檔時,S3 會管理解密,授權的使用者能夠以未加密的形式讀取日誌檔。
這種方法具有下列優勢:
-
您可以自行建立和管理金KMS鑰加密金鑰。
-
您可以使用單一KMS金鑰來加密和解密所有區域中多個帳戶的記錄檔。
-
您可以控制誰可以使用您的密鑰來加密和解密 CloudTrail 日誌文件。您可以根據需求將金鑰的許可指派給組織中的使用者。
-
您可以增強安全性。若要使用此功能讀取日誌檔案,則需要以下許可:
針對包含日誌檔案的儲存貯體,使用者必須擁有 S3 讀取許可。
使用者也必須套用允許KMS金鑰原則解密權限的策略或角色。
-
由於 S3 會自動解密授權使用KMS金鑰的使用者請求的日誌檔,因此 SSE- CloudTrail 日誌檔案的KMS加密與讀取日誌資料的應用程式向後相容。 CloudTrail
注意
您選擇的KMS金鑰必須建立在與接收日誌檔的 Amazon S3 儲存貯體相同的 AWS 區域中。例如,如果記錄檔將儲存在美國東部 (俄亥俄) 區域的值區中,您必須建立或選擇在該區域中建立的KMS金鑰。若要驗證 Amazon S3 儲存貯體的區域,請在 Amazon S3 主控台中檢查其屬性。
啟用日誌檔案加密
注意
如果您在 CloudTrail 主控台中建立KMS金鑰,請為您 CloudTrail 新增必要的KMS金鑰原則區段。如果您在IAM主控台中建立金鑰,或者 AWS CLI 需要手動新增必要的原則區段,請遵循下列程序。
若要為 CloudTrail 記錄檔啟用 SSE-KMS 加密,請執行下列高階步驟:
-
建立 KMS 金鑰。
注意
您選擇的KMS金鑰必須與接收日誌檔的 S3 儲存貯體位於相同的區域。若要驗證 S3 儲存貯體的區域,請在 S3 主控台中檢查儲存貯體的屬性。
-
將原則區段新增至可加密的金鑰, CloudTrail 以及使用者解密記錄檔。
-
如需政策中所含項目的資訊,請參閱「設定 AWS KMS 金鑰原則 CloudTrail」。
警告
請務必在所有需要讀取日誌檔案之使用者的政策中包含解密許可。如果您在將金鑰新增至線索組態之前未先執行此步驟,則沒有解密許可的使用者就無法讀取加密檔案;除非您授與他們那些許可。
-
如需有關使用IAM主控台編輯政策的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的編輯金鑰政策。
-
如需有關使用附加原則至KMS金鑰的資訊 AWS CLI,請參閱put-key-policy。
-
-
更新您的追蹤以使用您修改其原則的KMS金鑰 CloudTrail。
-
若要使用 CloudTrail 主控台更新追蹤組態,請參閱更新資源以搭配主控台使用您的KMS金鑰。
-
若要使用更新軌跡組態 AWS CLI,請參閱啟用和停用 CloudTrail 記錄檔加密 AWS CLI。
-
CloudTrail 還支持 AWS KMS 多區域鍵。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰。
下一節說明KMS金鑰原則與搭配使用所需的原則區段 CloudTrail。
