の暗号化のベストプラクティス AWS CloudTrail

CloudTrail ログはカスタマーマネージドの AWS KMS keyを使用して暗号化する必要があります。ログファイルを受け取る S3 バケットと同じリージョンにある KMS キーを選択します。詳細については、「証跡を更新して KMS キーを使用する」を参照してください。

追加のセキュリティレイヤーとして、証跡のログファイル検証を有効にします。ログファイル検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。説明については、「CloudTrail のログファイルの整合性検証を有効にする」を参照してください。

インターフェイス VPC エンドポイントを使用して、CloudTrail がパブリックインターネットを経由せずに他の VPC のリソースと通信できるようにします。詳細については、「VPC エンドポイントでの AWS CloudTrail の使用」を参照してください。

aws:SourceArn 条件キーを KMS キーポリシーに追加して、CloudTrail が特定の 1 つまたは複数の証跡に対してのみ KMS キーを使用できるようにします。詳細については、CloudTrail の AWS KMS key ポリシーを設定する」を参照してください。

で AWS Config、cloud-trail-encryption-enabled AWS マネージドルールを実装して、ログファイルの暗号化を検証して適用します。

CloudTrail が Amazon Simple Notification Service (Amazon SNS) トピックで通知を送信するように設定されている場合は、aws:SourceArn (またはオプションの aws:SourceAccount) 条件キーを CloudTrail ポリシーステートメントに追加して、SNS トピックへの不正なアカウントアクセスを防止します。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

を使用している場合は AWS Organizations、その組織の のすべてのイベントをログ AWS アカウント に記録する組織の証跡を作成します。これには、組織内の管理アカウントおよびすべてのメンバーアカウントが含まれます。詳細については、「組織の証跡の作成」を参照してください。

企業データを保存するすべての に適用される AWS リージョン証跡を作成し、それらのリージョンの AWS アカウント アクティビティを記録します。が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンを自動的に含め、そのリージョンのイベントをログに記録します。