Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Praktik terbaik enkripsi untuk AWS CloudTrail [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)membantu Anda mengaudit tata kelola, kepatuhan, dan operasional serta risiko Anda Akun AWS. Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini: + CloudTrail log harus dienkripsi menggunakan pelanggan yang dikelola. AWS KMS key Pilih kunci KMS yang berada di wilayah yang sama dengan bucket S3 yang menerima file log Anda. Untuk informasi selengkapnya, lihat [Memperbarui jejak untuk menggunakan kunci KMS Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html). + Sebagai lapisan keamanan tambahan, aktifkan validasi file log untuk jejak. Ini membantu Anda menentukan apakah file log telah dimodifikasi, dihapus, atau tidak diubah setelah CloudTrail dikirimkan. Untuk petunjuk, lihat [Mengaktifkan validasi integritas file log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) untuk. CloudTrail + Gunakan antarmuka VPC endpoint untuk memungkinkan CloudTrail untuk berkomunikasi dengan sumber daya lain VPCs tanpa melintasi internet publik. Untuk informasi selengkapnya, lihat [Menggunakan AWS CloudTrail dengan titik akhir VPC antarmuka](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html). + Tambahkan kunci `aws:SourceArn` kondisi ke kebijakan kunci KMS untuk memastikan bahwa CloudTrail menggunakan kunci KMS hanya untuk jejak atau jalur tertentu. Untuk informasi selengkapnya, lihat [Mengkonfigurasi AWS KMS key kebijakan untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html). + Di AWS Config, terapkan aturan [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) AWS terkelola untuk memvalidasi dan menegakkan enkripsi file log. + Jika CloudTrail dikonfigurasi untuk mengirim notifikasi melalui topik Amazon Simple Notification Service (Amazon SNS), tambahkan `aws:SourceArn` kunci kondisi (atau `aws:SourceAccount` opsional) ke pernyataan kebijakan untuk mencegah akses akun CloudTrail yang tidak sah ke topik SNS. Untuk informasi selengkapnya, lihat [kebijakan topik Amazon SNS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-permissions-for-sns-notifications.html) untuk. CloudTrail + Jika Anda menggunakan AWS Organizations, buat jejak organisasi yang mencatat semua peristiwa Akun AWS di organisasi tersebut. Ini termasuk akun manajemen dan semua akun anggota dalam organisasi. Untuk informasi selengkapnya, lihat [Membuat jejak untuk organisasi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html). + Buat jejak yang [berlaku untuk semua Wilayah AWS](https://aws.amazon.com/blogs/mt/aws-cloudtrail-best-practices/) tempat Anda menyimpan data perusahaan, untuk merekam Akun AWS aktivitas di Wilayah tersebut. Saat AWS meluncurkan Wilayah baru, CloudTrail secara otomatis menyertakan Wilayah baru dan mencatat peristiwa di Wilayah tersebut.