Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Le migliori pratiche di crittografia per AWS CloudTrail [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) consente di verificare governance, conformità, rischi e operatività per l' Account AWS. Prendi in considerazione le seguenti best practice di crittografia per questo servizio: + CloudTrail i registri devono essere crittografati utilizzando un sistema gestito AWS KMS key dal cliente. Scegli una chiave KMS che si trovi nella stessa regione del bucket S3 che riceve i file di log. Per ulteriori informazioni, consulta la sezione [Aggiornamento di un percorso per l'utilizzo della chiave KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html). + Come livello di sicurezza aggiuntivo, abilita la convalida dei file di log per i trail. Ciò consente di determinare se un file di registro è stato modificato, eliminato o immutato dopo la CloudTrail consegna. Per istruzioni, consulta [Attivazione della convalida dell'integrità dei file di registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) per. CloudTrail + Utilizza gli endpoint VPC dell'interfaccia per consentire la comunicazione con risorse in altri VPCs senza CloudTrail attraversare la rete Internet pubblica. Per ulteriori informazioni, consulta la pagina relativa all'[utilizzo di AWS CloudTrail con endpoint VPC dell'interfaccia](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html). + Aggiungi una chiave di `aws:SourceArn` condizione alla politica delle chiavi KMS per assicurarti che CloudTrail utilizzi la chiave KMS solo per uno o più percorsi specifici. Per ulteriori informazioni, consulta [Configurare AWS KMS key le politiche per](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html). CloudTrail + Nel AWS Config, implementa la regola [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) AWS gestita per convalidare e applicare la crittografia dei file di registro. + Se CloudTrail è configurato per inviare notifiche tramite argomenti di Amazon Simple Notification Service (Amazon SNS), aggiungi `aws:SourceArn` una chiave di condizione (o `aws:SourceAccount` facoltativamente) all'informativa sulla politica per impedire CloudTrail l'accesso non autorizzato dell'account all'argomento SNS. Per ulteriori informazioni, consulta la [policy tematica di Amazon SNS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-permissions-for-sns-notifications.html) per. CloudTrail + Se lo utilizzi AWS Organizations, crea un percorso organizzativo che registri tutti gli eventi relativi Account AWS a quell'organizzazione. Ciò include l'account di gestione e tutti gli account dei membri dell'organizzazione. Per ulteriori informazioni, consulta [Creazione di un trail per un'organizzazione](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html). + Crea un percorso che [si applichi a tutti i Regioni AWS](https://aws.amazon.com/blogs/mt/aws-cloudtrail-best-practices/) luoghi in cui archivi i dati aziendali, per registrare le Account AWS attività in quelle regioni. Quando AWS avvia una nuova regione, include CloudTrail automaticamente la nuova regione e registra gli eventi in quella regione.