Cifrado de archivos de registros, archivos de resumen y los almacenes de datos de eventos de CloudTrail con claves de AWS KMS (SSE-KMS)
De forma predeterminada, los archivos de registro y de resumen que envía CloudTrail a su bucket se cifran mediante cifrado en el servidor con una clave de KMS (SSE-KMS). Si no habilita el cifrado SSE-KMS, los archivos de registro y de resumen se cifrarán mediante el cifrado SSE-S3.
nota
Si está utilizando un bucket de S3 existente con una clave de bucket de S3, CloudTrail debe tener permiso en la política de claves para utilizar las acciones de AWS KMS GenerateDataKey y DescribeKey. Si cloudtrail.amazonaws.com no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.
Para utilizar SSE-KMS con CloudTrail, debe crear y administrar una AWS KMS key. Adjunte una política a la clave que determine qué usuarios pueden utilizar la clave para cifrar y descifrar archivos de registros y de resumen de CloudTrail. El proceso de descifrado transcurre de manera fluida a través de S3. Cuando los usuarios autorizados de la clave leen archivos de registros y de resumen de CloudTrail, S3 administra el descifrado y los usuarios autorizados pueden leer los archivos ya sin cifrado.
Este enfoque tiene las siguientes ventajas:
-
Puede crear y administrar la clave de KMS usted mismo.
-
Puede utilizar una única clave de KMS para cifrar y descifrar los archivos de registros y de resumen de varias cuentas en todas las regiones.
-
Puede controlar quién puede utilizar su clave para cifrar y descifrar archivos de registros y de resumen de CloudTrail. Puede asignar permisos para la clave a los usuarios de su organización, según sus requisitos.
-
Aumenta la seguridad. Con esta característica, se necesitan los siguientes permisos para poder leer archivos de registros y de resumen:
Un usuario debe tener permisos de lectura de S3 para el bucket que contiene los archivos de registro y de resumen.
También se debe aplicar a un usuario una política o un rol que la política de la clave de KMS conceda permisos de descifrado.
-
Puesto que S3 descifra automáticamente los archivos de registros y de resumen de las solicitudes de los usuarios autorizados para utilizar la clave de KMS, el cifrado SSE-KMS de los archivos es compatible con versiones anteriores de las aplicaciones que leen datos de registros de CloudTrail.
nota
La clave de KMS que elija debe crearse en la misma región de AWS que el bucket de Amazon S3 que recibe los archivos de registros y de resumen. Por ejemplo, si los archivos de registros y de registro se almacenarán en un bucket en la región Este de EE. UU. (Ohio), debe crear o elegir una clave de KMS que se haya creado en esa región. Para verificar la región a la que pertenece un bucket de Amazon S3, consulte sus propiedades en la consola de Amazon S3.
De forma predeterminada, CloudTrail cifra todos los almacenes de datos de eventos. Tiene la opción de usar su propia clave de KMS para el cifrado al crear o actualizar un almacén de datos de eventos.
Activación del cifrado de los archivos de registro
nota
Si crea una clave de KMS en la consola de CloudTrail, CloudTrail agrega las secciones de política de clave de KMS necesarias. Siga estos procedimientos si ha creado una clave en la consola de IAM o en la AWS CLI y necesita agregar manualmente las secciones necesarias de la política.
Para habilitar el cifrado SSE-KMS para los archivos de registros de CloudTrail, siga estos pasos de alto nivel:
-
Creación de una clave de KMS.
-
Para obtener información sobre cómo crear una clave de KMS con la Consola de administración de AWS, consulte Creación de claves en la Guía para desarrolladores AWS Key Management Service.
-
Para obtener información sobre cómo crear una clave de KMS con la AWS CLI, consulte create-key.
nota
La clave de KMS que elija debe estar en la misma región que el bucket de S3 que recibe los archivos de registros y de resumen. Para verificar la región a la que pertenece un bucket de S3, inspecciones las propiedades del bucket en la consola de S3.
-
-
Agregue secciones de política a la clave para que CloudTrail pueda cifrar los archivos de registros y de resumen y los usuarios puedan descifrarlos.
-
Para obtener información sobre qué es lo que debe incluir en la política, consulte Configurar políticas de clave de AWS KMS para CloudTrail.
aviso
Asegúrese de incluir permisos de descifrado en la política para todos los usuarios que necesitan leer archivos de registro y de resumen. Si no realiza este paso antes de añadir la clave a la configuración del registro de seguimiento, los usuarios que no dispongan de permisos de descifrado no podrán leer archivos cifrados hasta que les conceda esos permisos.
-
Para obtener más información sobre cómo editar una política con la consola de IAM, consulte Edición de una política de claves en la Guía para desarrolladores AWS Key Management Service.
-
Para obtener información sobre cómo asociar una política a una clave de KMS con la AWS CLI, consulte put-key-policy.
-
-
Actualice su registro de seguimiento o almacén de datos de eventos para utilizar la clave de KMS cuya política ha modificado para CloudTrail.
-
Para actualizar un registro de seguimiento o almacén de datos de eventos con la consola de CloudTrail, consulte Actualización de un recurso para que utilice su clave de KMS con la consola.
-
Para actualizar un registro de seguimiento o almacén de datos de eventos con la AWS CLI, consulte Habilitar y deshabilitar el cifrado de los archivos de registro, los archivos de resumen y los almacenes de datos de eventos de CloudTrail con AWS CLI.
-
CloudTrail también admite claves de AWS KMS de varias regiones. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service.
En la siguiente sección se describen las secciones de política que requiere su política de clave de KMS para utilizarse con CloudTrail.
