Configure las políticas AWS KMS clave para CloudTrail - AWS CloudTrail
Secciones clave de la política de KMS obligatorias para su uso con CloudTrailOtorgar permisos de cifrado para las rutasOtorgar permisos de cifrado para los almacenes de datos de eventosOtorgar permisos de descifrado para las rutasOtorgar permisos de descifrado para los almacenes de datos de eventosHabilite esta opción CloudTrail para describir las propiedades clave de KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure las políticas AWS KMS clave para CloudTrail

Puede crear una AWS KMS key de tres maneras:

  • La CloudTrail consola

  • La consola AWS de administración

  • La AWS CLI

nota

Si crea una clave de KMS en la CloudTrail consola, CloudTrail le agrega la política de claves de KMS necesaria. No es necesario que añada manualmente las instrucciones de política. Consulte Política de claves de KMS predeterminada creada en la consola CloudTrail .

Si crea una clave de KMS en la AWS Management Console o en AWS CLI, debe añadir secciones de políticas a la clave para poder utilizarla con ella CloudTrail. La política debe permitir CloudTrail el uso de la clave para cifrar los archivos de registro, los archivos de resumen y los almacenes de datos de eventos, y permitir que los usuarios que especifique lean los archivos de registro y los archivos de resumen sin cifrar.

Consulte los siguientes recursos:

Temas

Secciones clave de la política de KMS obligatorias para su uso con CloudTrail

Si ha creado una clave de KMS con la consola de AWS administración o la AWS CLI, debe añadir, como mínimo, las siguientes instrucciones a su política de claves de KMS para que funcione CloudTrail.

Elementos de política de clave de KMS necesarios para los registros de seguimiento

  1. Conceda permisos para cifrar los archivos de CloudTrail registro y resumen. Para obtener más información, consulte Otorgar permisos de cifrado para las rutas.

  2. Otorgue permisos para descifrar los archivos de CloudTrail registro y resumen. Para obtener más información, consulte Otorgar permisos de descifrado para las rutas. Si está utilizando un bucket de S3 existente con una Clave de bucket de S3, los permisos kms:Decrypt son necesarios para crear o actualizar un registro de seguimiento con el cifrado SSE-KMS habilitado.

  3. CloudTrail Actívela para describir las propiedades clave de KMS. Para obtener más información, consulte Habilite esta opción CloudTrail para describir las propiedades clave de KMS.

Como práctica recomendada de seguridad, agregue una clave de condición aws:SourceArn a la política de claves de KMS. La clave de condición global del IAM aws:SourceArn ayuda a garantizar que se CloudTrail utilice la clave KMS solo para una o varias rutas específicas. El valor de aws:SourceArn es siempre el ARN de la ruta (o conjunto de rutas ARNs) que utiliza la clave KMS. Asegúrese de agregar la clave de condiciones aws:SourceArn de las políticas clave de KMS para las trazas existentes.

La clave de condición aws:SourceAccount también se admite, aunque no se recomienda. El valor de aws:SourceAccount es el ID de cuenta del propietario del traza, para las trazas de la organización, el ID de cuenta de administración.

importante

Cuando agregue las secciones nuevas a su política de clave de KMS, no cambie las secciones existentes en la política.

Si el cifrado está habilitado en un rastro y la clave de KMS está deshabilitada o la política de claves de KMS no está configurada correctamente CloudTrail, no CloudTrail se pueden entregar los registros.

Elementos de política de clave de KMS necesarios para los almacenes de datos de eventos

  1. Otorgue permisos para cifrar un almacén de datos de eventos de CloudTrail Lake. Para obtener más información, consulte Otorgar permisos de cifrado para los almacenes de datos de eventos.

  2. Otorgue permisos para descifrar un banco de datos de eventos de CloudTrail Lake. Para obtener más información, consulte Otorgar permisos de descifrado para los almacenes de datos de eventos.

    Tanto para crear un almacén de datos de eventos y cifrarlo con una clave de KMS como para ejecutar consultas en un almacén de datos de eventos que esté cifrando con una clave de KMS, debe tener acceso de escritura a la clave de KMS. La política de claves de KMS debe tener acceso al CloudTrail almacén de datos de eventos y los usuarios que ejecutan operaciones (como consultas) en el almacén de datos de eventos deben poder administrarla.

  3. CloudTrail Actívela para describir las propiedades clave de KMS. Para obtener más información, consulte Habilite esta opción CloudTrail para describir las propiedades clave de KMS.

Las claves de condición aws:SourceArn y aws:SourceAccount no se admiten en las políticas de claves de KMS para los almacenes de datos de eventos.

importante

Cuando agregue las secciones nuevas a su política de clave de KMS, no cambie las secciones existentes en la política.

Si el cifrado está habilitado en un almacén de datos de eventos y la clave de KMS está deshabilitada o eliminada, o si la política de claves de KMS no está configurada correctamente CloudTrail, CloudTrail no podrá entregar eventos a su banco de datos de eventos.

Otorgar permisos de cifrado para las rutas

ejemplo CloudTrail Permiten cifrar archivos de registro y resumir archivos en nombre de cuentas específicas

CloudTrail necesita un permiso explícito para usar la clave KMS para cifrar los archivos de registro y los archivos de resumen en nombre de cuentas específicas. Para especificar una cuenta, añada la siguiente declaración obligatoria a su política de claves de KMS y account-id sustitúyala trailName por los valores adecuados para su configuración. region Puede añadir una cuenta adicional IDs a la EncryptionContext sección para permitir que esas cuentas usen su clave KMS CloudTrail para cifrar los archivos de registro y los archivos de resumen.

Como práctica recomendada de seguridad, agregue una clave de condición aws:SourceArn a la política de clave de KMS para un registro de seguimiento. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que se CloudTrail utilice la clave KMS solo para una o varias rutas específicas.

{
   "Sid": "AllowCloudTrailEncryptLogs",
   "Effect": "Allow",
   "Principal": {
       "Service": "cloudtrail.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
         },
         "StringLike": {
             "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
         }
    }
}

El siguiente ejemplo de declaración de política ilustra cómo otra cuenta puede usar tu clave KMS para cifrar los archivos de CloudTrail registro y resumir los archivos.

Escenario

  • Su clave de KMS está en la cuenta 111111111111.

  • Tanto usted como la cuenta 222222222222 cifrarán los registros.

En la política, agregas una o más cuentas que se cifran con tu clave. CloudTrail EncryptionContext Esto limita el uso de CloudTrail la clave para cifrar los archivos de registro y resumir los archivos únicamente de las cuentas que especifique. Cuando concedes 222222222222 permiso al administrador de la cuenta para cifrar los archivos de registro y los archivos de resumen, delega en el administrador de la cuenta el permiso para cifrar los permisos necesarios a otros usuarios de esa cuenta. Para ello, el administrador de la cuenta cambia las políticas asociadas a esos usuarios de IAM.

Como práctica recomendada de seguridad, agregue una clave de condición aws:SourceArn a la política de claves de KMS. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que se CloudTrail utilice la clave KMS solo para las rutas especificadas. Esta condición no se admite en las políticas de claves de KMS para los almacenes de datos de eventos.

Instrucción de la política de claves de KMS:

{
  "Sid": "EnableCloudTrailEncryptPermissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "cloudtrail.amazonaws.com"
  },
  "Action": "kms:GenerateDataKey*",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:cloudtrail:arn": [
        "arn:aws:cloudtrail:*:111111111111:trail/*",
        "arn:aws:cloudtrail:*:222222222222:trail/*"
      ]
    },
    "StringEquals": {
        "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
    }
  }
}

Para obtener más información sobre cómo editar una política de claves de KMS para utilizarla con CloudTrail ella, consulte Edición de una política clave en la Guía para AWS Key Management Service desarrolladores.

Otorgar permisos de cifrado para los almacenes de datos de eventos

Una política para una clave KMS utilizada para cifrar un banco de datos de eventos de CloudTrail Lake no puede usar las claves aws:SourceArn de condición o. aws:SourceAccount A continuación, se muestra un ejemplo de política de una clave de KMS para un almacén de datos de eventos.

{
    "Sid": "AllowCloudTrailEncryptEds",
    "Effect": "Allow",
    "Principal": {
        "Service": "cloudtrail.amazonaws.com"
     },
     "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*"
}

Otorgar permisos de descifrado para las rutas

Antes de añadir la clave KMS a la CloudTrail configuración, es importante conceder permisos de descifrado a todos los usuarios que los necesiten. Los usuarios que tienen permisos de cifrado, pero no permisos de descifrado no pueden leer los registros cifrados. Si está utilizando un bucket de S3 existente con una Clave de bucket de S3, los permisos kms:Decrypt son necesarios para crear o actualizar un registro de seguimiento con el cifrado SSE-KMS habilitado.

Habilite los permisos de descifrado de CloudTrail registros

Los usuarios de su clave deben tener permisos explícitos para leer los archivos de registro que CloudTrail ha cifrado. Para habilitar a los usuarios para que puedan leer archivos de registros cifrados, agregue la siguiente instrucción necesaria a su política de claves de KMS y modifique la sección Principal para agregar una línea para cada entidad principal a la que desee permitir descifrar con su clave de KMS.

{
  "Sid": "EnableCloudTrailLogDecryptPermissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account-id:user/username"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "Null": {
      "kms:EncryptionContext:aws:cloudtrail:arn": "false"
    }
  }
}

El siguiente es un ejemplo de política que se requiere para permitir que el director del CloudTrail servicio descifre los registros de seguimiento.

{
      "Sid": "AllowCloudTrailDecryptTrail",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}

Permitir a los usuarios de su cuenta descifrar los registros de seguimiento con su clave de KMS

Ejemplo

Esta instrucción de política ilustra cómo permitir que un usuario o un rol de su cuenta use su clave para leer registros cifrados en el bucket de S3 de su cuenta.

ejemplo Escenario

  • Su clave de KMS, el bucket de S3 y el usuario de IAM Bob están en la cuenta 111111111111.

  • Le das permiso al usuario de IAM Bob para descifrar los CloudTrail registros del bucket de S3.

En la política de claves, habilita los permisos de descifrado de CloudTrail registros para el usuario Bob de IAM.

Instrucción de la política de claves de KMS:

{
  "Sid": "EnableCloudTrailLogDecryptPermissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111111111111:user/Bob"
  },
  "Action": "kms:Decrypt",
  "Resource": "arn:aws:kms:region:account-id:key/key-id",
  "Condition": {
    "Null": {
      "kms:EncryptionContext:aws:cloudtrail:arn": "false"
    }
  }
}
Temas

    Permitir a los usuarios de otras cuentas descifrar los registros de seguimiento con su clave de KMS

    Puede permitir que los usuarios de otras cuentas usen su clave de KMS para descifrar los registros de seguimiento. Los cambios necesarios en su política de claves dependen de si el bucket de S3 se encuentra en su cuenta o en otra cuenta.

    Permitir a los usuarios de un bucket de otra cuenta descifrar archivos de registro

    Ejemplo

    Esta instrucción de política ilustra cómo permitir que un usuario o un rol de IAM de otra cuenta use su clave para leer archivos de registro cifrados de un bucket de S3 de la otra cuenta.

    Escenario

    • Su clave de KMS está en la cuenta 111111111111.

    • El usuario de IAM Alice y el bucket de S3 se encuentran en la cuenta 222222222222.

    En este caso, das CloudTrail permiso para descifrar los registros de la cuenta 222222222222 y das permiso a la política de usuario de IAM de Alice para usar tu claveKeyA, que está en la cuenta. 111111111111

    Instrucción de la política de claves de KMS:

    {
  "Sid": "EnableEncryptedCloudTrailLogReadAccess",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::222222222222:root"
    ]
  },
  "Action": "kms:Decrypt",
  "Resource": "arn:aws:kms:region:111111111111:key/key-id",
  "Condition": {
    "Null": {
      "kms:EncryptionContext:aws:cloudtrail:arn": "false"
    }
  }
}

    Instrucción de política de la usuaria de IAM Alice:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "arn:aws:kms:us-west-2:111111111111:key/KeyA"
    }
  ]
}

    Permitir a los usuarios de otra cuenta descifrar los registros de seguimiento de su bucket

    ejemplo

    Esta política ilustra cómo otra cuenta puede utilizar su clave para leer archivos de registro cifrados de su bucket de S3.

    ejemplo Escenario

    • Su clave de KMS y el bucket de S3 se encuentran en la cuenta 111111111111.

    • El usuario que lee registros del bucket está en la cuenta 222222222222.

    Para habilitar este escenario, habilita los permisos de descifrado para la función de IAM CloudTrailReadRoleen su cuenta y, a continuación, otorga permiso a la otra cuenta para que asuma esa función.

    Instrucción de la política de claves de KMS:

    {
  "Sid": "EnableEncryptedCloudTrailLogReadAccess",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111111111111:role/CloudTrailReadRole"
    ]
  },
  "Action": "kms:Decrypt",
  "Resource": "arn:aws:kms:region:account-id:key/key-id",
  "Condition": {
    "Null": {
      "kms:EncryptionContext:aws:cloudtrail:arn": "false"
    }
  }
}

    CloudTrailReadRoledeclaración de política de la entidad fiduciaria:

    JSON
    {
 "Version": "2012-10-17",
 "Statement": [
   {
     "Sid": "Allow CloudTrail access",
     "Effect": "Allow",
     "Principal": {
       "AWS": "arn:aws:iam::222222222222:root"
     },
     "Action": "sts:AssumeRole"
    }
  ]
 }

    Para obtener información sobre cómo editar una política de claves de KMS para usarla con CloudTrail ella, consulte Edición de una política clave en la Guía para AWS Key Management Service desarrolladores.

    Otorgar permisos de descifrado para los almacenes de datos de eventos

    La política de descifrado para una clave de KMS que se utiliza con un banco de datos de eventos de CloudTrail Lake es similar a la siguiente. El usuario o el rol ARNs especificados como valores Principal necesitan permisos de descifrado para crear o actualizar los bancos de datos de eventos, ejecutar consultas u obtener resultados de consultas.

    {
      "Sid": "EnableUserKeyPermissionsEds"
      "Effect": "Allow",
      "Principal": {
          "AWS": "arn:aws:iam::account-id:user/username"
      },
      "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
      ],
      "Resource": "*"
  }

    El siguiente es un ejemplo de política que se requiere para permitir que el director del CloudTrail servicio descifre un banco de datos de eventos.

    {
      "Sid": "AllowCloudTrailDecryptEds",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}

    Habilite esta opción CloudTrail para describir las propiedades clave de KMS

    CloudTrail requiere la capacidad de describir las propiedades de la clave KMS. Para habilitar esta funcionalidad, agregue la siguiente instrucción necesaria tal cual está a su política de claves de KMS. Esta declaración no concede CloudTrail ningún permiso aparte de los demás permisos que especifique.

    Como práctica recomendada de seguridad, agregue una clave de condición aws:SourceArn a la política de claves de KMS. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que se CloudTrail utilice la clave KMS solo para una o varias rutas específicas.

    {
  "Sid": "AllowCloudTrailAccess",
  "Effect": "Allow",
  "Principal": {
    "Service": "cloudtrail.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "arn:aws:kms:region:account-id:key/key-id",
  "Condition": {
    "StringEquals": {
        "aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
    }
  }
}

    Para obtener más información sobre cómo editar políticas de claves de KMS, consulte Edición de una política de claves en la Guía para desarrolladores de AWS Key Management Service .