翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # の暗号化のベストプラクティス AWS CloudTrail [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) は、 AWS アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を行えるように支援します。 このサービスでは、以下の暗号化のベストプラクティスを検討してください。 + CloudTrail ログはカスタマーマネージドの AWS KMS keyを使用して暗号化する必要があります。ログファイルを受け取る S3 バケットと同じリージョンにある KMS キーを選択します。詳細については、「[証跡を更新して KMS キーを使用する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html)」を参照してください。 + 追加のセキュリティレイヤーとして、証跡のログファイル検証を有効にします。ログファイル検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。説明については、「[CloudTrail のログファイルの整合性検証を有効にする](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)」を参照してください。 + インターフェイス VPC エンドポイントを使用して、CloudTrail がパブリックインターネットを経由せずに他の VPC のリソースと通信できるようにします。詳細については、「[VPC エンドポイントでの AWS CloudTrail の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html)」を参照してください。 + `aws:SourceArn` 条件キーを KMS キーポリシーに追加して、CloudTrail が特定の 1 つまたは複数の証跡に対してのみ KMS キーを使用できるようにします。詳細については、[CloudTrail の AWS KMS key ポリシーを設定する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html)」を参照してください。 + で AWS Config、[cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) AWS マネージドルールを実装して、ログファイルの暗号化を検証して適用します。 + CloudTrail が Amazon Simple Notification Service (Amazon SNS) トピックで通知を送信するように設定されている場合は、`aws:SourceArn` (またはオプションの `aws:SourceAccount`) 条件キーを CloudTrail ポリシーステートメントに追加して、SNS トピックへの不正なアカウントアクセスを防止します。詳細については、「[CloudTrail の Amazon SNS トピックポリシー」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-permissions-for-sns-notifications.html)を参照してください。 + を使用している場合は AWS Organizations、その組織の のすべてのイベントをログ AWS アカウント に記録する組織の証跡を作成します。これには、組織内の管理アカウントおよびすべてのメンバーアカウントが含まれます。詳細については、「[組織の証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)」を参照してください。 + 企業データを保存する[すべての に適用される AWS リージョン](https://aws.amazon.com/blogs/mt/aws-cloudtrail-best-practices/)証跡を作成し、それらのリージョンの AWS アカウント アクティビティを記録します。が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンを自動的に含め、そのリージョンのイベントをログに記録します。