Mengenkripsi file CloudTrail log, mencerna file, dan penyimpanan data peristiwa dengan AWS KMS kunci (SSE-KMS)

Secara default, berkas log dan berkas intisari yang dikirim CloudTrail ke bucket Anda dienkripsi menggunakan enkripsi sisi server dengan kunci KMS (SSE-KMS). Jika Anda tidak mengaktifkan enkripsi SSE-KMS, file log dan file digest Anda dienkripsi menggunakan enkripsi SSE-S3.

catatan

Jika Anda menggunakan bucket S3 yang sudah ada dengan Kunci bucket S3, izin CloudTrail harus diizinkan dalam kebijakan kunci untuk menggunakan AWS KMS tindakan GenerateDataKey dan. DescribeKey Jika izin cloudtrail.amazonaws.com tersebut tidak diberikan dalam kebijakan utama, Anda tidak dapat membuat atau memperbarui jejak.

Untuk menggunakan SSE-KMS dengan CloudTrail, Anda membuat dan mengelola file. AWS KMS key Anda melampirkan kebijakan ke kunci yang menentukan pengguna mana yang dapat menggunakan kunci untuk mengenkripsi dan mendekripsi file CloudTrail log dan mencerna file. Dekripsi mulus melalui S3. Ketika pengguna resmi kunci membaca file CloudTrail log atau mencerna file, S3 mengelola dekripsi, dan pengguna yang berwenang dapat membaca file dalam bentuk yang tidak terenkripsi.

Pendekatan ini memiliki keuntungan sebagai berikut:

Anda dapat membuat dan mengelola kunci KMS sendiri.
Anda dapat menggunakan satu kunci KMS untuk mengenkripsi dan mendekripsi file log dan mencerna file untuk beberapa akun di semua Wilayah.
Anda memiliki kendali atas siapa yang dapat menggunakan kunci Anda untuk mengenkripsi dan mendekripsi file CloudTrail log dan mencerna file. Anda dapat menetapkan izin untuk kunci kepada pengguna di organisasi Anda sesuai dengan kebutuhan Anda.
Anda telah meningkatkan keamanan. Dengan fitur ini, untuk membaca file log atau mencerna file, izin berikut diperlukan:
- Pengguna harus memiliki izin baca S3 untuk bucket yang berisi file log dan mencerna file.
- Pengguna juga harus memiliki kebijakan atau peran yang diterapkan yang memungkinkan izin dekripsi oleh kebijakan kunci KMS.
Karena S3 secara otomatis mendekripsi file log dan mencerna file untuk permintaan dari pengguna yang berwenang untuk menggunakan kunci KMS, enkripsi SSE-KMS untuk file tersebut kompatibel dengan aplikasi yang membaca data log. CloudTrail

catatan

Kunci KMS yang Anda pilih harus dibuat di AWS Wilayah yang sama dengan bucket Amazon S3 yang menerima berkas log dan mencerna file. Misalnya, jika berkas log dan berkas intisari akan disimpan dalam bucket di Wilayah US East (Ohio), Anda harus membuat atau memilih kunci KMS yang dibuat di Wilayah tersebut. Untuk memverifikasi Wilayah untuk bucket Amazon S3, periksa propertinya di konsol Amazon S3.

Secara default, penyimpanan data acara dienkripsi oleh. CloudTrail Anda memiliki opsi untuk menggunakan kunci KMS Anda sendiri untuk enkripsi saat Anda membuat atau memperbarui penyimpanan data acara.

Mengaktifkan enkripsi file log

catatan

Jika Anda membuat kunci KMS di CloudTrail konsol, CloudTrail tambahkan bagian kebijakan kunci KMS yang diperlukan untuk Anda. Ikuti prosedur ini jika Anda membuat kunci di konsol IAM atau AWS CLI dan Anda perlu menambahkan bagian kebijakan yang diperlukan secara manual.

Untuk mengaktifkan enkripsi SSE-KMS untuk file CloudTrail log, lakukan langkah-langkah tingkat tinggi berikut:

Buat kunci KMS.
- Untuk informasi tentang membuat kunci KMS dengan AWS Management Console, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.
- Untuk informasi tentang membuat kunci KMS dengan AWS CLI, lihat create-key.
catatan
Kunci KMS yang Anda pilih harus berada di Wilayah yang sama dengan bucket S3 yang menerima berkas log dan mencerna file. Untuk memverifikasi Region untuk bucket S3, periksa properti bucket di konsol S3.
Tambahkan bagian kebijakan ke kunci yang memungkinkan CloudTrail untuk mengenkripsi dan pengguna untuk mendekripsi file log dan mencerna file.
- Untuk informasi tentang apa yang harus disertakan dalam kebijakan, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.
  
  Awas
  Pastikan untuk menyertakan izin dekripsi dalam kebijakan untuk semua pengguna yang perlu membaca file log atau mencerna file. Jika Anda tidak melakukan langkah ini sebelum menambahkan kunci ke konfigurasi jejak Anda, pengguna tanpa izin dekripsi tidak dapat membaca file terenkripsi sampai Anda memberi mereka izin tersebut.
- Untuk informasi tentang mengedit kebijakan dengan konsol IAM, lihat Mengedit Kebijakan Utama di Panduan AWS Key Management Service Pengembang.
- Untuk informasi tentang melampirkan kebijakan ke kunci KMS dengan AWS CLI, lihat. put-key-policy
Perbarui penyimpanan data jejak atau acara Anda untuk menggunakan kunci KMS yang kebijakannya Anda modifikasi. CloudTrail
- Untuk memperbarui penyimpanan data jejak atau peristiwa menggunakan CloudTrail konsol, lihatMemperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol.
- Untuk memperbarui penyimpanan data jejak atau peristiwa menggunakan AWS CLI, lihatMengaktifkan dan menonaktifkan enkripsi untuk file CloudTrail log, mencerna file dan penyimpanan data peristiwa dengan AWS CLI.

CloudTrail juga mendukung kunci AWS KMS multi-Region. Untuk informasi selengkapnya tentang kunci multi-Region, lihat Menggunakan kunci multi-Region dalam Panduan AWS Key Management Service Developer.

Bagian selanjutnya menjelaskan bagian kebijakan yang diperlukan oleh kebijakan kunci KMS Anda untuk digunakan. CloudTrail

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik terbaik keamanan

Memberikan izin untuk membuat kunci KMS