Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia di file di CloudTrail registro, file digest e archivi dati di eventi con AWS KMS chiavi (SSE-KMS)
Per impostazione predefinita, i file di registro e i file digest forniti dal CloudTrail bucket vengono crittografati utilizzando la crittografia lato server con una chiave KMS (SSE-KMS). Se non abiliti la crittografia SSE-KMS, i file di log e i file digest vengono crittografati utilizzando la crittografia SSE-S3.
Nota
Se stai utilizzando un bucket S3 esistente con una chiave del bucket S3, CloudTrail devi disporre dell'autorizzazione nella policy chiave per utilizzare le azioni e. AWS KMS GenerateDataKey DescribeKey Se a cloudtrail.amazonaws.com non sono concesse tali autorizzazioni nella policy della chiave, non puoi creare o aggiornare un percorso.
Per utilizzare SSE-KMS con CloudTrail, crei e gestisci un. AWS KMS key Si allega una politica alla chiave che determina quali utenti possono utilizzare la chiave per crittografare e decrittografare CloudTrail i file di registro e i file digest. La decrittografia è un processo seamless in S3. Quando gli utenti autorizzati della chiave leggono i file di CloudTrail registro o i file digest, S3 gestisce la decrittografia e gli utenti autorizzati sono in grado di leggere i file in formato non crittografato.
Questo approccio presenta i vantaggi seguenti:
-
Puoi creare e gestire tu stesso la chiave KMS.
-
Puoi utilizzare una singola chiave KMS per crittografare e decrittografare i file di registro e i file digest per più account in tutte le regioni.
-
Hai il controllo su chi può utilizzare la tua chiave per crittografare e CloudTrail decrittografare i file di registro e i file digest. Puoi assegnare le autorizzazioni per la chiave agli utenti nell'organizzazione in base alle tue esigenze.
-
Disponi di una sicurezza avanzata. Con questa funzionalità, per leggere i file di registro o i file digest, sono necessarie le seguenti autorizzazioni:
Un utente deve disporre delle autorizzazioni di lettura S3 per il bucket che contiene i file di log e i file digest.
Un utente deve disporre di una policy o di un ruolo che consente di decrittare le autorizzazioni applicate dalla policy della chiave KMS.
-
Poiché S3 decrittografa automaticamente i file di registro e i file digest per le richieste degli utenti autorizzati a utilizzare la chiave KMS, la crittografia SSE-KMS per i file è retrocompatibile con le applicazioni che leggono i dati di registro. CloudTrail
Nota
La chiave KMS scelta deve essere creata nella stessa AWS regione del bucket Amazon S3 che riceve i file di log e i file digest. Ad esempio, se i file di log e i file digest verranno archiviati in un bucket nella regione Stati Uniti orientali (Ohio), devi creare o scegliere una chiave KMS creata in quella regione. Per verificare la regione per un bucket Amazon S3, esamina le relative proprietà nella console Amazon S3.
Per impostazione predefinita, gli archivi dati degli eventi sono crittografati da. CloudTrail È possibile utilizzare la propria chiave KMS per la crittografia quando si crea o si aggiorna un archivio dati di eventi.
Abilitazione della crittografia dei file di log
Nota
Se crei una chiave KMS nella CloudTrail console, CloudTrail aggiunge automaticamente le sezioni relative alla politica della chiave KMS richieste. Segui queste procedure se hai creato una chiave nella console IAM o AWS CLI se devi aggiungere manualmente le sezioni della policy richieste.
Per abilitare la crittografia SSE-KMS per i file di CloudTrail registro, esegui i seguenti passaggi di alto livello:
-
Creare una chiave KMS.
-
Per informazioni sulla creazione di una chiave KMS con AWS Management Console, consulta Creating Keys nella Developer Guide.AWS Key Management Service
-
Per informazioni sulla creazione di una chiave KMS con AWS CLI, consulta create-key.
Nota
La chiave KMS che scegli deve trovarsi nella stessa regione del bucket S3 che riceve i file di registro e i file digest. Per verificare la Regione per un bucket S3, verifica le relative proprietà nella console S3.
-
-
Aggiungi sezioni politiche alla chiave che consentono di crittografare e agli utenti di CloudTrail decrittografare i file di registro e i file digest.
-
Per ulteriori informazioni sugli elementi da includere nella policy, consulta Configura le politiche AWS KMS chiave per CloudTrail.
avvertimento
Assicurati di includere le autorizzazioni di decrittografia nella politica per tutti gli utenti che devono leggere i file di registro o i file digest. Se non esegui questo passaggio prima di aggiungere la chiave alla configurazione del trail, gli utenti senza autorizzazioni di decrittografia non saranno in grado di leggere i file crittografati fino alla concessione delle suddette autorizzazioni.
-
Per informazioni sulla modifica di una policy con la console IAM, consulta Editing a Key Policy nella Guida per gli sviluppatori di AWS Key Management Service .
-
Per informazioni su come allegare una politica a una chiave KMS con, consulta. AWS CLIput-key-policy
-
-
Aggiorna il tuo archivio dati di percorsi o eventi per utilizzare la chiave KMS per cui hai modificato la politica. CloudTrail
-
Per aggiornare un data store di percorsi o eventi utilizzando la CloudTrail console, consultaAggiornamento di una risorsa per l'utilizzo della chiave KMS con la console.
-
Per aggiornare un data store di percorsi o eventi utilizzando il AWS CLI, vedereAbilitazione e disabilitazione della crittografia per file di CloudTrail registro, file digest e archivi di dati di eventi con AWS CLI.
-
CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .
La sezione successiva descrive le sezioni della politica con cui deve essere utilizzata la politica delle chiavi KMS. CloudTrail
