Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung von CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeichern mit AWS KMS Schlüsseln (SSE-KMS)
Standardmäßig werden die von Ihrem Bucket übermittelten Protokoll- und Digest-Dateien mithilfe einer serverseitigen Verschlüsselung mit einem KMS-Schlüssel (SSE-KMS) verschlüsselt. CloudTrail Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren, werden Ihre Protokolldateien und Digest-Dateien mit der SSE-S3-Verschlüsselung verschlüsselt.
Anmerkung
Wenn Sie einen vorhandenen S3-Bucket mit einem S3-Bucket-Schlüssel verwenden, CloudTrail muss in der Schlüsselrichtlinie die Erlaubnis zur Verwendung der Aktionen und gewährt werden. AWS KMS GenerateDataKey DescribeKey Wenn cloudtrail.amazonaws.com diese Berechtigungen in der Schlüsselrichtlinie nicht gewährt werden, können Sie keinen Trail erstellen oder aktualisieren.
Um SSE-KMS mit zu verwenden CloudTrail, erstellen und verwalten Sie eine. AWS KMS key Sie fügen dem Schlüssel eine Richtlinie hinzu, die festlegt, welche Benutzer den Schlüssel zum Verschlüsseln und Entschlüsseln von CloudTrail Protokolldateien und Digest-Dateien verwenden können. Die Entschlüsselung erfolgt nahtlos über S3. Wenn autorisierte Benutzer des Schlüssels CloudTrail Protokolldateien oder Digest-Dateien lesen, verwaltet S3 die Entschlüsselung, und die autorisierten Benutzer können die Dateien in unverschlüsselter Form lesen.
Dieser Ansatz bietet folgende Vorteile:
-
Sie können den KMS-Schlüssel selbst erstellen und verwalten.
-
Sie können einen einzigen KMS-Schlüssel verwenden, um Protokolldateien und Digest-Dateien für mehrere Konten in allen Regionen zu verschlüsseln und zu entschlüsseln.
-
Sie haben die Kontrolle darüber, wer Ihren Schlüssel zum Verschlüsseln und Entschlüsseln von CloudTrail Protokolldateien und Digest-Dateien verwenden kann. Sie können den Benutzern in Ihrer Organisation Berechtigungen für den Schlüssel entsprechend Ihren Anforderungen zuweisen.
-
Sie profitieren von verbesserter Sicherheit. Für diese Funktion sind zum Lesen von Protokoll- oder Digest-Dateien die folgenden Berechtigungen erforderlich:
Ein Benutzer muss über S3-Leseberechtigungen für den Bucket verfügen, der die Logdateien und Digest-Dateien enthält.
Ein Benutzer muss zudem über eine Richtlinie oder Rolle verfügen, die das Entschlüsseln von Berechtigungen mit der KMS-Schlüssel-Richtlinie erlaubt.
-
Da S3 die Protokolldateien und Digest-Dateien für Anfragen von Benutzern, die zur Verwendung des KMS-Schlüssels autorisiert sind, automatisch entschlüsselt, ist die SSE-KMS-Verschlüsselung für die Dateien abwärtskompatibel mit Anwendungen, die Protokolldaten lesen. CloudTrail
Anmerkung
Der von Ihnen gewählte KMS-Schlüssel muss in derselben AWS Region erstellt werden wie der Amazon S3 S3-Bucket, der Ihre Protokoll- und Digest-Dateien empfängt. Wenn die Protokolldateien und Digest-Dateien beispielsweise in einem Bucket in der Region USA Ost (Ohio) gespeichert werden, müssen Sie einen KMS-Schlüssel erstellen oder auswählen, der in dieser Region erstellt wurde. Zum Überprüfen der Region für einen Amazon-S3-Bucket sehen Sie sich die entsprechenden Eigenschaften in der Amazon-S3-Konsole an.
Standardmäßig werden Ereignisdatenspeicher von CloudTrail verschlüsselt. Sie haben die Möglichkeit, Ihren eigenen KMS-Schlüssel für die Verschlüsselung zu verwenden, wenn Sie einen Ereignisdatenspeicher erstellen oder aktualisieren.
Aktivieren der Verschlüsselung von Protokolldateien
Anmerkung
Wenn Sie in der CloudTrail Konsole einen KMS-Schlüssel erstellen, werden die erforderlichen Abschnitte mit den KMS-Schlüsselrichtlinien für Sie CloudTrail hinzugefügt. Gehen Sie wie folgt vor, wenn Sie einen Schlüssel in der IAM-Konsole erstellt haben oder AWS CLI die erforderlichen Richtlinienabschnitte manuell hinzufügen müssen.
Gehen Sie wie folgt vor, um die SSE-KMS-Verschlüsselung für CloudTrail Protokolldateien zu aktivieren:
-
Erstellen eines KMS-Schlüssels.
-
Informationen zum Erstellen eines KMS-Schlüssels mit dem AWS Management Console finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.
-
Informationen zum Erstellen eines KMS-Schlüssels mit dem finden Sie AWS CLI unter create-key.
Anmerkung
Der von Ihnen gewählte KMS-Schlüssel muss sich in derselben Region befinden wie der S3-Bucket, der Ihre Protokoll- und Digest-Dateien empfängt. Zum Überprüfen der Region für einen S3-Bucket sehen Sie sich die Eigenschaften des Buckets in der S3-Konsole an.
-
-
Fügen Sie dem Schlüssel Richtlinienabschnitte hinzu, die das Verschlüsseln und das Entschlüsseln von Protokolldateien und Digest-Dateien durch Benutzer ermöglichen CloudTrail .
-
Weitere Informationen zu den erforderlichen Inhalten der Richtlinie finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
Warnung
Stellen Sie sicher, dass die Richtlinie Entschlüsselungsberechtigungen für alle Benutzer enthält, die Protokolldateien oder Digest-Dateien lesen müssen. Wenn Sie diesen Schritt nicht ausführen, bevor Sie den Schlüssel der Trail-Konfiguration hinzufügen, können Benutzer ohne Berechtigungen zum Entschlüsseln keine verschlüsselten Dateien lesen, bis Sie ihnen diese Berechtigungen erteilen.
-
Weitere Informationen zum Bearbeiten einer Richtlinie mit der IAM-Konsole finden Sie unter Bearbeiten einer Schlüsselrichtlinie im AWS Key Management Service -Entwicklerhandbuch.
-
Informationen zum Anhängen einer Richtlinie an einen KMS-Schlüssel mit dem AWS CLI finden Sie unter. put-key-policy
-
-
Aktualisieren Sie Ihren Trail- oder Event-Datenspeicher, sodass er den KMS-Schlüssel verwendet, dessen Richtlinie Sie geändert haben. CloudTrail
-
Informationen zum Aktualisieren eines Trail- oder Ereignisdatenspeichers mithilfe der CloudTrail Konsole finden Sie unterAktualisieren einer Ressource zur Verwendung des KMS-Schlüssels mit der -Konsole.
-
Informationen zum Aktualisieren eines Datenspeichers für Spuren oder Ereignisse mithilfe der AWS CLI finden Sie unterAktivieren und Deaktivieren der Verschlüsselung für CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeicher mit dem AWS CLI.
-
CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service -Entwicklerhandbuch.
Im nächsten Abschnitt werden die Richtlinienabschnitte beschrieben, die für die Verwendung mit CloudTrail Ihrer KMS-Schlüsselrichtlinie erforderlich sind.
