Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail
Sie können eine AWS KMS key auf drei Arten erstellen:
-
Die CloudTrail Konsole
-
Die AWS Management-Konsole
-
Die AWS CLI
Anmerkung
Wenn Sie in der CloudTrail Konsole einen KMS-Schlüssel erstellen, CloudTrail fügt er die erforderliche KMS-Schlüsselrichtlinie für Sie hinzu. Sie müssen die Richtlinienanweisungen nicht manuell hinzufügen. Siehe In CloudTrail der Konsole erstellte Standard-KMS-Schlüsselrichtlinie.
Wenn Sie im AWS Management Console oder im einen KMS-Schlüssel erstellen AWS CLI, müssen Sie dem Schlüssel Richtlinienabschnitte hinzufügen, damit Sie ihn mit verwenden können CloudTrail. Die Richtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokolldateien, Digest-Dateien und Ereignisdatenspeicher ermöglichen und es den von Ihnen angegebenen Benutzern ermöglichen, Protokolldateien und Digest-Dateien in unverschlüsselter Form zu lesen. CloudTrail
Weitere Informationen finden Sie in den folgenden Ressourcen:
-
Informationen zum Erstellen eines KMS-Schlüssels mit dem finden Sie unter create-key. AWS CLI
-
Informationen zum Bearbeiten einer KMS-Schlüsselrichtlinie für CloudTrail finden Sie unter Bearbeiten einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.
-
Technische Informationen zur CloudTrail Verwendung finden Sie AWS KMS unterWie AWS CloudTrail verwendet AWS KMS.
Themen
Erforderliche Abschnitte mit den wichtigsten KMS-Richtlinien für die Verwendung mit CloudTrail
Erteilen von Verschlüsselungsberechtigungen für Ereignisdatenspeicher
Erteilen von Entschlüsselungsberechtigungen für Ereignisdatenspeicher
Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln
In CloudTrail der Konsole erstellte Standard-KMS-Schlüsselrichtlinie
Erforderliche Abschnitte mit den wichtigsten KMS-Richtlinien für die Verwendung mit CloudTrail
Wenn Sie einen KMS-Schlüssel mit der AWS Managementkonsole oder dem erstellt haben AWS CLI, müssen Sie Ihrer KMS-Schlüsselrichtlinie mindestens die folgenden Anweisungen hinzufügen, damit er funktioniert CloudTrail.
Themen
Für Trails erforderliche Elemente der KMS-Schlüsselrichtlinie
-
Erteilen Sie Berechtigungen zum Verschlüsseln von CloudTrail Protokoll- und Digest-Dateien. Weitere Informationen finden Sie unter Erteilung von Verschlüsselungsberechtigungen für Trails.
-
Erteilen Sie Berechtigungen zum Entschlüsseln von CloudTrail Protokoll- und Digest-Dateien. Weitere Informationen finden Sie unter Erteilen von Entschlüsselungsberechtigungen für Pfade. Wenn Sie einen vorhandenen S3-Bucket mit einem S3-Bucket-Schlüssel verwenden, sind
kms:Decrypt-Berechtigungen erforderlich, um einen Trail mit aktivierter SSE-KMS-Verschlüsselung zu erstellen oder zu aktualisieren. -
Aktivieren Sie CloudTrail diese Option, um KMS-Schlüsseleigenschaften zu beschreiben. Weitere Informationen finden Sie unter Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln.
Als bewährte Sicherheitsmethode gilt es, der KMS-Schlüsselrichtlinie einen aws:SourceArn-Bedingungsschlüssel hinzuzufügen. Mit dem globalen IAM-Bedingungsschlüssel wird aws:SourceArn sichergestellt, dass der KMS-Schlüssel nur für einen oder mehrere bestimmte Pfade CloudTrail verwendet wird. Der Wert von aws:SourceArn ist immer der Trail-ARN (oder das Trail-Array ARNs), der den KMS-Schlüssel verwendet. Denken Sie daran, den aws:SourceArn-Bedingungsschlüssel KMS-Schlüsselrichtlinien für bestehende Trails hinzuzufügen.
Der aws:SourceAccount-Bedingungsschlüssel wird ebenfalls unterstützt, aber nicht empfohlen. Der Wert von aws:SourceAccount ist die Konto-ID des Trail-Besitzers oder die Verwaltungskonto-ID für Organisations-Trails.
Wichtig
Ändern Sie beim Hinzufügen der neuen Abschnitte zur KMS-Schlüsselrichtlinie keinen der vorhandenen Abschnitte.
Wenn die Verschlüsselung auf einem Trail aktiviert und der KMS-Schlüssel deaktiviert ist oder die KMS-Schlüsselrichtlinie nicht richtig konfiguriert ist CloudTrail, CloudTrail können keine Protokolle übermittelt werden.
Für Ereignisdatenspeicher erforderliche Elemente der KMS-Schlüsselrichtlinie
-
Erteilen Sie Berechtigungen zum Verschlüsseln eines CloudTrail Lake-Ereignisdatenspeichers. Weitere Informationen finden Sie unter Erteilen von Verschlüsselungsberechtigungen für Ereignisdatenspeicher.
-
Erteilen Sie Berechtigungen zum Entschlüsseln eines CloudTrail Lake-Ereignisdatenspeichers. Weitere Informationen finden Sie unter Erteilen von Entschlüsselungsberechtigungen für Ereignisdatenspeicher.
Wenn Sie einen Ereignisdatenspeicher erstellen und ihn mit einem KMS-Schlüssel verschlüsseln oder Abfragen in einem Ereignisdatenspeicher ausführen, den Sie mit einem KMS-Schlüssel verschlüsseln, benötigen Sie Schreibzugriff auf den KMS-Schlüssel. Die KMS-Schlüsselrichtlinie muss Zugriff auf den Ereignisdatenspeicher haben CloudTrail, und der KMS-Schlüssel sollte von Benutzern verwaltet werden können, die Operationen (wie Abfragen) im Ereignisdatenspeicher ausführen.
-
Aktivieren Sie CloudTrail diese Option, um KMS-Schlüsseleigenschaften zu beschreiben. Weitere Informationen finden Sie unter Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln.
Die Bedingungsschlüssel aws:SourceArn und aws:SourceAccount werden in KMS-Schlüsselrichtlinien für Ereignisdatenspeicher nicht unterstützt.
Wichtig
Ändern Sie beim Hinzufügen der neuen Abschnitte zur KMS-Schlüsselrichtlinie keinen der vorhandenen Abschnitte.
Wenn die Verschlüsselung in einem Ereignisdatenspeicher aktiviert ist und der KMS-Schlüssel deaktiviert oder gelöscht ist oder die KMS-Schlüsselrichtlinie nicht richtig konfiguriert ist CloudTrail, CloudTrail können keine Ereignisse an Ihren Ereignisdatenspeicher übermittelt werden.
Erteilung von Verschlüsselungsberechtigungen für Trails
Beispiel CloudTrail Erlaubt die Verschlüsselung von Logdateien und Digest-Dateien für bestimmte Konten
CloudTrail benötigt die ausdrückliche Genehmigung, den KMS-Schlüssel zum Verschlüsseln von Protokoll- und Digest-Dateien für bestimmte Konten zu verwenden. Um ein Konto anzugeben, fügen Sie Ihrer KMS-Schlüsselrichtlinie die folgende erforderliche Anweisung hinzu und ersetzen Sieaccount-id,region, durch die entsprechenden Werte für Ihre Konfiguration. trailName Sie können dem EncryptionContext Abschnitt ein zusätzliches Konto IDs hinzufügen, damit diese Konten Ihren KMS-Schlüssel CloudTrail zum Verschlüsseln von Protokoll- und Digest-Dateien verwenden können.
Fügen Sie der KMS-Schlüsselrichtlinie für einen Trail als bewährte Sicherheitsmethode den Bedingungsschlüssel aws:SourceArn hinzu. Der globale IAM-Bedingungsschlüssel aws:SourceArn trägt dazu bei, dass der KMS-Schlüssel nur für einen oder mehrere bestimmte Pfade CloudTrail verwendet wird.
{ "Sid": "AllowCloudTrailEncryptLogs", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name" }, "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*" } } }
Die folgende Beispielrichtlinie veranschaulicht, wie ein anderes Konto Ihren KMS-Schlüssel verwenden kann, um CloudTrail Protokolldateien und Digest-Dateien zu verschlüsseln.
Szenario
-
Ihr KMS-Schlüssel befindet sich im Konto
111111111111. -
Sowohl Sie als auch das Konto verschlüsseln
222222222222die Protokolle.
In der Richtlinie fügen Sie ein oder mehrere Konten hinzu, die mit Ihrem Schlüssel verschlüsseln. CloudTrail EncryptionContext Dies beschränkt die CloudTrail Verwendung Ihres Schlüssels zum Verschlüsseln von Protokoll- und Digest-Dateien nur für die von Ihnen angegebenen Konten. Wenn Sie dem Stammkonto die 222222222222 Berechtigung zum Verschlüsseln von Protokoll- und Digest-Dateien erteilen, delegiert es die Erlaubnis an den Kontoadministrator, die erforderlichen Berechtigungen für andere Benutzer in diesem Konto zu verschlüsseln. Dies geschieht, indem der Kontoadministrator die diesen IAM-Benutzern zugeordneten Richtlinien ändert.
Als bewährte Sicherheitsmethode gilt es, der KMS-Schlüsselrichtlinie einen aws:SourceArn-Bedingungsschlüssel hinzuzufügen. Mit dem globalen IAM-Bedingungsschlüssel wird aws:SourceArn sichergestellt, dass der KMS-Schlüssel nur für die angegebenen Pfade CloudTrail verwendet wird. Diese Bedingung wird in KMS-Schlüsselrichtlinien für Ereignisdatenspeicher nicht unterstützt.
KMS-Schlüsselrichtlinie:
{ "Sid": "EnableCloudTrailEncryptPermissions", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": [ "arn:aws:cloudtrail:*:111111111111:trail/*", "arn:aws:cloudtrail:*:222222222222:trail/*" ] }, "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name" } } }
Weitere Informationen zum Bearbeiten einer KMS-Schlüsselrichtlinie zur Verwendung mit CloudTrail finden Sie unter Bearbeiten einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.
Erteilen von Verschlüsselungsberechtigungen für Ereignisdatenspeicher
Eine Richtlinie für einen KMS-Schlüssel, der zum Verschlüsseln eines CloudTrail Lake-Ereignisdatenspeichers verwendet wird, kann die Bedingungsschlüssel aws:SourceArn oder nicht verwenden. aws:SourceAccount Im Folgenden finden Sie ein Beispiel für eine KMS-Schlüsselrichtlinie für einen Ereignisdatenspeicher.
{ "Sid": "AllowCloudTrailEncryptEds", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }
Erteilen von Entschlüsselungsberechtigungen für Pfade
Bevor Sie Ihren KMS-Schlüssel zu Ihrer CloudTrail Konfiguration hinzufügen, ist es wichtig, allen Benutzern, die diese benötigen, Entschlüsselungsberechtigungen zu erteilen. Benutzer, die zwar über Verschlüsselungs-, aber nicht über Entschlüsselungsberechtigungen verfügen, können verschlüsselte Protokolle nicht lesen. Wenn Sie einen vorhandenen S3-Bucket mit einem S3-Bucket-Schlüssel verwenden, sind kms:Decrypt-Berechtigungen erforderlich, um einen Trail mit aktivierter SSE-KMS-Verschlüsselung zu erstellen oder zu aktualisieren.
Aktivieren Sie die Berechtigungen zum Entschlüsseln von CloudTrail Protokollen
Benutzern des Schlüssels müssen explizite Berechtigungen für das Lesen der Protokolldateien gewährt werden, die CloudTrail verschlüsselt hat. Damit Benutzer verschlüsselte Protokolle lesen können, fügen Sie der KMS-Schlüsselrichtlinie die folgenden erforderlichen Anweisungen hinzu und fügen Sie dazu dem Abschnitt Principal für jeden Prinzipal, der zur Entschlüsselung mithilfe Ihres KMS-Schlüssel berechtigt sein soll, eine Zeile hinzu.
{ "Sid": "EnableCloudTrailLogDecryptPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/username" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } } }
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die erforderlich ist, damit der CloudTrail Dienstprinzipal Trailprotokolle entschlüsseln kann.
{ "Sid": "AllowCloudTrailDecryptTrail", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }
Zulassen, dass Benutzer in Ihrem Konto Trail-Protokolle mit Ihrem KMS-Schlüssel entschlüsseln
Beispiel
Diese Richtlinienanweisung zeigt, wie Sie es einem Benutzer oder einer Rolle in Ihrem Konto ermöglichen, Ihren Schlüssel zu verwenden, um verschlüsselte Protokolle im S3-Bucket Ihres Kontos zu lesen.
Beispiel Szenario
-
Ihr KMS-Schlüssel, der S3-Bucket und der IAM-Benutzer Bob befinden sich im Konto
111111111111 -
Sie erteilen dem IAM-Benutzer Bob die Erlaubnis, CloudTrail Logs im S3-Bucket zu entschlüsseln.
In der Schlüsselrichtlinie aktivieren Sie die Berechtigungen zur CloudTrail Protokollentschlüsselung für den IAM-Benutzer Bob.
KMS-Schlüsselrichtlinie:
{ "Sid": "EnableCloudTrailLogDecryptPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:user/Bob" }, "Action": "kms:Decrypt", "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } } }
Themen
Zulassen, dass Benutzer in anderen Konten Trail-Protokolle mit Ihrem KMS-Schlüssel entschlüsseln
Sie können Benutzern mit anderen Konten erlauben, Ihren KMS-Schlüssel zum Entschlüsseln von Trail-Logs zu verwenden. Die erforderlichen Änderungen an der Schlüsselrichtlinie sind abhängig davon, ob der S3-Bucket sich in Ihrem Konto oder in einem anderen Konto befindet.
Zulassen der Entschlüsselung von Protokollen für Benutzer eines Buckets in einem anderen Konto
Beispiel
Diese Richtlinienanweisung zeigt, wie Sie einem IAM-Benutzer oder einer IAM-Rolle in einem anderen Konto ermöglichen, Ihren Schlüssel zu verwenden, um verschlüsselte Protokolle aus einem S3-Bucket in dem anderen Konto zu lesen.
Szenario
-
Ihr KMS-Schlüssel befindet sich im Konto
111111111111 -
Der IAM-Benutzer Alice und der S3-Bucket befinden sich im Konto
222222222222
In diesem Fall erteilen Sie die CloudTrail Erlaubnis, Protokolle unter dem Konto zu entschlüsseln222222222222KeyA111111111111
KMS-Schlüsselrichtlinie:
{ "Sid": "EnableEncryptedCloudTrailLogReadAccess", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:root" ] }, "Action": "kms:Decrypt", "Resource": "arn:aws:kms:region:111111111111:key/key-id", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } } }
Anweisung in der IAM-Benutzerrichtlinie von Alice:
Zulassen, dass Benutzer in einem anderen Konto Trail-Protokolle aus Ihrem Bucket entschlüsseln
Beispiel
Diese Richtlinie zeigt, wie ein anderes Konto Ihren Schlüssel verwenden kann, um verschlüsselte Protokolle aus Ihrem S3-Bucket zu lesen.
Beispiel Szenario
-
Ihr KMS-Schlüssel und S3-Bucket befinden sich in Konto
111111111111 -
Der Benutzer, der Protokolle aus Ihrem Bucket liest, befindet sich in Konto
222222222222
Um dieses Szenario zu aktivieren, aktivieren Sie die Entschlüsselungsberechtigungen für die IAM-Rolle CloudTrailReadRolein Ihrem Konto und geben dann dem anderen Konto die Erlaubnis, diese Rolle anzunehmen.
KMS-Schlüsselrichtlinie:
{ "Sid": "EnableEncryptedCloudTrailLogReadAccess", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111111111111:role/CloudTrailReadRole" ] }, "Action": "kms:Decrypt", "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } } }
CloudTrailReadRoleGrundsatzerklärung zur Vertrauensstelle:
Informationen zum Bearbeiten einer KMS-Schlüsselrichtlinie zur Verwendung mit CloudTrail finden Sie unter Bearbeiten einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.
Erteilen von Entschlüsselungsberechtigungen für Ereignisdatenspeicher
Eine Entschlüsselungsrichtlinie für einen KMS-Schlüssel, der mit einem CloudTrail Lake-Ereignisdatenspeicher verwendet wird, ähnelt der folgenden. Der als Werte für ARNs angegebene Benutzer oder die Rolle Principal benötigt Entschlüsselungsberechtigungen, um Ereignisdatenspeicher zu erstellen oder zu aktualisieren, Abfragen auszuführen oder Abfrageergebnisse abzurufen.
{ "Sid": "EnableUserKeyPermissionsEds" "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/username" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" }
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die erforderlich ist, damit der CloudTrail Dienstprinzipal einen Ereignisdatenspeicher entschlüsseln kann.
{ "Sid": "AllowCloudTrailDecryptEds", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }
Ermöglicht CloudTrail die Beschreibung der Eigenschaften von KMS-Schlüsseln
CloudTrail erfordert die Fähigkeit, die Eigenschaften des KMS-Schlüssels zu beschreiben. Um diese Funktion zu aktivieren, fügen Sie der KMS-Schlüssel-Richtlinie die folgende erforderliche Anweisung hinzu. Diese Anweisung gewährt CloudTrail keine Berechtigungen, die über die anderen von Ihnen angegebenen Berechtigungen hinausgehen.
Als bewährte Sicherheitsmethode gilt es, der KMS-Schlüsselrichtlinie einen aws:SourceArn-Bedingungsschlüssel hinzuzufügen. Mit dem globalen IAM-Bedingungsschlüssel wird aws:SourceArn sichergestellt, dass der KMS-Schlüssel nur für einen oder mehrere bestimmte Pfade CloudTrail verwendet wird.
{ "Sid": "AllowCloudTrailAccess", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name" } } }
Weitere Informationen zum Bearbeiten von KMS-Schlüsselrichtlinien finden Sie unter Bearbeiten einer Schlüsselrichtlinie im AWS Key Management Service -Entwicklerhandbuch.
