Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des fichiers CloudTrail journaux, des fichiers de synthèse et des banques de données d'événements à l'aide de AWS KMS clés (SSE-KMS)
Par défaut, les fichiers journaux et les fichiers de synthèse fournis par votre compartiment sont chiffrés CloudTrail à l'aide d'un chiffrement côté serveur avec une clé KMS (SSE-KMS). Si vous n'activez pas le chiffrement SSE-KMS, vos fichiers journaux et vos fichiers de synthèse sont chiffrés à l'aide du chiffrement SSE-S3.
Note
Si vous utilisez un compartiment S3 existant avec une clé de compartiment S3, vous CloudTrail devez être autorisé dans la politique des clés à utiliser les AWS KMS actions GenerateDataKey etDescribeKey. Si cloudtrail.amazonaws.com n'est pas accordé ces autorisations dans la politique de clé, vous ne pouvez pas créer ou mettre à jour un journal de suivi.
Pour utiliser SSE-KMS avec CloudTrail, vous devez créer et gérer un. AWS KMS key Vous attachez une politique à la clé qui détermine quels utilisateurs peuvent utiliser la clé pour chiffrer et déchiffrer les fichiers CloudTrail journaux et les fichiers de synthèse. Le déchiffrement est transparent via S3. Lorsque les utilisateurs autorisés de la clé lisent des fichiers CloudTrail journaux ou des fichiers de synthèse, S3 gère le déchiffrement et les utilisateurs autorisés peuvent lire les fichiers sous forme non chiffrée.
Cette méthode offre les avantages suivants :
-
Vous pouvez créer et gérer vous-même la clé KMS.
-
Vous pouvez utiliser une seule clé KMS pour chiffrer et déchiffrer les fichiers journaux et digérer les fichiers de plusieurs comptes dans toutes les régions.
-
Vous pouvez contrôler qui peut utiliser votre clé pour chiffrer et déchiffrer les fichiers CloudTrail journaux et les fichiers de synthèse. Vous pouvez attribuer des autorisations pour la clé aux utilisateurs de votre organisation selon vos besoins.
-
Vous bénéficiez d'une sécurité renforcée. Avec cette fonctionnalité, pour lire des fichiers journaux ou des fichiers de synthèse, les autorisations suivantes sont requises :
Un utilisateur doit disposer des autorisations de lecture S3 pour le compartiment contenant les fichiers journaux et les fichiers de synthèse.
Un utilisateur doit également avoir une politique ou un rôle permettant des autorisations de déchiffrement par la politique clé KMS.
-
Comme S3 déchiffre automatiquement les fichiers journaux et les fichiers de synthèse pour les demandes des utilisateurs autorisés à utiliser la clé KMS, le chiffrement SSE-KMS des fichiers est rétrocompatible avec les applications qui lisent les données des journaux. CloudTrail
Note
La clé KMS que vous choisissez doit être créée dans la même AWS région que le compartiment Amazon S3 qui reçoit vos fichiers journaux et vos fichiers de synthèse. Par exemple, si les fichiers journaux et les fichiers de synthèse doivent être stockés dans un bucket dans la région USA Est (Ohio), vous devez créer ou choisir une clé KMS créée dans cette région. Pour vérifier la région pour un compartiment Amazon S3, examinez ses propriétés dans la console Amazon S3.
Par défaut, les magasins de données d'événements sont chiffrés par CloudTrail. Vous avez la possibilité d'utiliser votre propre clé KMS pour le chiffrement lorsque vous créez ou mettez à jour un magasin de données d'événements.
Activation du chiffrement de fichier journaux
Note
Si vous créez une clé KMS dans la CloudTrail console, CloudTrail ajoute les sections de politique de clé KMS requises pour vous. Suivez ces procédures si vous avez créé une clé dans la console IAM ou AWS CLI si vous devez ajouter manuellement les sections de stratégie requises.
Pour activer le chiffrement SSE-KMS pour les fichiers CloudTrail journaux, effectuez les étapes de haut niveau suivantes :
-
Créer une clé KMS.
-
Pour plus d'informations sur la création d'une clé KMS avec le AWS Management Console, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.
-
Pour plus d'informations sur la création d'une clé KMS avec le AWS CLI, voir create-key.
Note
La clé KMS que vous choisissez doit se trouver dans la même région que le compartiment S3 qui reçoit vos fichiers journaux et vos fichiers de synthèse. Pour vérifier la région pour un compartiment S3, examinez les propriétés du compartiment dans la console S3.
-
-
Ajoutez des sections de politique à la clé qui permettent CloudTrail de chiffrer et aux utilisateurs de déchiffrer les fichiers journaux et de digérer les fichiers.
-
Pour plus d'informations sur ce qu'il convient d'inclure dans la politique, consultez la page Configurer les politiques AWS KMS clés pour CloudTrail.
Avertissement
Veillez à inclure les autorisations de déchiffrement dans la politique pour tous les utilisateurs qui ont besoin de lire des fichiers journaux ou de digérer des fichiers. Si vous n'effectuez pas cette étape avant d'ajouter la clé à la configuration de votre journal d'activité, les utilisateurs ne disposant pas d'autorisations de déchiffrement ne peuvent pas lire les fichiers chiffrés jusqu'à ce que vous leur accordiez ces autorisations.
-
Pour plus d'informations sur la modification d'une politique avec la console IAM, consultez Editing a Key Policy (Modification d'une politique de clé) dans le Guide du développeur AWS Key Management Service .
-
Pour plus d'informations sur l'attachement d'une politique à une clé KMS à l'aide du AWS CLI, consultez put-key-policy.
-
-
Mettez à jour votre banque de données de parcours ou d'événements pour utiliser la clé KMS pour laquelle vous avez modifié la politique CloudTrail.
-
Pour mettre à jour un magasin de données de suivi ou d'événement à l'aide de la CloudTrail console, voirMise à jour d'une ressource pour qu'elle utilise votre clé KMS avec la console.
-
Pour mettre à jour un magasin de données de parcours ou d'événements à l'aide du AWS CLI, voirActivation et désactivation du chiffrement pour les fichiers CloudTrail journaux, les fichiers condensés et les banques de données d'événements à l'aide du AWS CLI.
-
CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .
La section suivante décrit les sections de politique avec lesquelles votre politique de clé KMS doit être utilisée CloudTrail.
