使用 AWS KMS 金鑰加密 CloudTrail 日誌檔案 (SSE-KMS) - AWS CloudTrail
啟用日誌檔案加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS KMS 金鑰加密 CloudTrail 日誌檔案 (SSE-KMS)

根據預設, 交付 CloudTrail 至儲存貯體的日誌檔案會使用伺服器端加密搭配KMS金鑰 (SSE-KMS) 進行加密。如果您未啟用 SSE- KMS加密,您的日誌會使用 SSE-S3 加密進行加密

注意

啟用伺服器端加密會使用 SSE- 加密日誌檔案,但不會加密摘要檔案KMS。摘要檔案會使用 Amazon S3-managed加密金鑰 (SSE-S3) 進行加密

如果您使用現有的 S3 儲存貯體搭配 S3 儲存貯體金鑰, CloudTrail 則必須在金鑰政策中允許使用 AWS KMS 動作 GenerateDataKey和 的許可DescribeKey。如果 cloudtrail.amazonaws.com 未授與金鑰政策中的這些許可,則無法建立或更新追蹤。

若要搭配 使用 SSE-KMS CloudTrail,您可以建立和管理KMS金鑰,也稱為 AWS KMS key。您可以將政策連接至 金鑰,以決定哪些使用者可以使用 金鑰來加密和解密 CloudTrail 日誌檔案。解密是透過 S3 無縫進行。當金鑰讀取 CloudTrail 日誌檔案的授權使用者時,S3 會管理解密,且授權使用者能夠以未加密的形式讀取日誌檔案。

這種方法具有下列優勢:

  • 您可以自行建立和管理KMS金鑰加密金鑰。

  • 您可以使用單一KMS金鑰來加密和解密所有區域中多個帳戶的日誌檔案。

  • 您可以控制誰可以使用您的金鑰來加密和解密 CloudTrail 日誌檔案。您可以根據需求將金鑰的許可指派給組織中的使用者。

  • 您可以增強安全性。若要使用此功能讀取日誌檔案,則需要以下許可:

    • 針對包含日誌檔案的儲存貯體,使用者必須擁有 S3 讀取許可。

    • 使用者也必須套用允許KMS金鑰政策解密許可的政策或角色。

  • 由於 S3 會自動解密來自獲授權使用 KMS金鑰之使用者的請求日誌檔案,因此 CloudTrail SSE日誌KMS檔案的加密會與讀取 CloudTrail 日誌資料的應用程式回溯相容。

注意

您選擇的KMS金鑰必須在與接收日誌檔案的 Amazon S3 儲存貯體相同的 AWS 區域中建立。例如,如果日誌檔案將存放在美國東部 (俄亥俄) 區域的儲存貯體中,您必須建立或選擇在該區域中建立的KMS金鑰。若要驗證 Amazon S3 儲存貯體的區域,請在 Amazon S3 主控台中檢查其屬性。

啟用日誌檔案加密

注意

如果您在 CloudTrail 主控台中建立KMS金鑰, 會為您 CloudTrail 新增必要的KMS金鑰政策區段。如果您在 IAM 主控台中建立金鑰, AWS CLI 或需要手動新增必要的政策區段,請遵循這些程序。

若要啟用 CloudTrail 日誌檔案的 SSE-KMS 加密,請執行下列高階步驟:

  1. 建立 KMS 金鑰。

    • 如需使用 建立KMS金鑰的相關資訊 AWS Management Console,請參閱《 AWS Key Management Service 開發人員指南》中的建立金鑰

    • 如需使用 建立KMS金鑰的資訊 AWS CLI,請參閱 create-key

    注意

    您選擇的KMS金鑰必須與接收日誌檔案的 S3 儲存貯體位於相同的區域。若要驗證 S3 儲存貯體的區域,請在 S3 主控台中檢查儲存貯體的屬性。

  2. 將政策區段新增至金鑰,讓 CloudTrail 加密和使用者解密日誌檔案。

    • 如需政策中所含項目的資訊,請參閱「設定 的 AWS KMS 金鑰政策 CloudTrail」。

      警告

      請務必在所有需要讀取日誌檔案之使用者的政策中包含解密許可。如果您在將金鑰新增至線索組態之前未先執行此步驟,則沒有解密許可的使用者就無法讀取加密檔案;除非您授與他們那些許可。

    • 如需使用 IAM 主控台編輯政策的相關資訊,請參閱《 AWS Key Management Service 開發人員指南》中的編輯金鑰政策

    • 如需使用 將政策連接至KMS金鑰的相關資訊 AWS CLI,請參閱 put-key-policy

  3. 更新您的線索,以使用您修改其政策的KMS金鑰 CloudTrail。

CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰

下一節說明 KMS金鑰政策與 搭配使用時所需的政策區段 CloudTrail。