Criptografar arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com chaves do AWS KMS (SSE-KMS)
Por padrão, os arquivos de log e os arquivos de resumo entregues pelo CloudTrail ao bucket são criptografados com a criptografia do lado do servidor com uma chave do KMS (SSE-KMS). Se você não habilitar a criptografia SSE-KMS, os arquivos de log e os arquivos de resumo serão criptografados com a criptografia SSE-S3.
nota
Se você estiver usando um bucket do S3 existente com uma chave de bucket do S3, o CloudTrail deverá ter permissão na política de chaves para usar as ações GenerateDataKey e DescribeKey do AWS KMS. Se o cloudtrail.amazonaws.com não tiver essas permissões na política de chave, não será possível criar ou atualizar trilhas.
Para usar o SSE-KMS com o CloudTrail, você cria e gerencia uma AWS KMS key. Você anexa uma política à chave que determina quais usuários podem usar a chave para criptografar e descriptografar os arquivos de log e os arquivos de resumo do CloudTrail. A descriptografia é facilitada pelo S3. Quando os usuários autorizados da chave leem arquivos de log e arquivos de resumo do CloudTrail, o S3 gerencia a descriptografia, e os usuários autorizados podem ler arquivos os arquivos em formato não criptografado.
Essa abordagem tem as seguintes vantagens:
-
Você mesmo pode criar e gerenciar a chave.
-
Você pode usar uma única chave do KMS para criptografar e descriptografar os arquivos de log e os arquivos de resumo de várias contas em todas as regiões.
-
Você tem controle sobre quem pode usar sua chave para criptografar e descriptografar os arquivos de log e os arquivos de resumo do CloudTrail. Você pode atribuir permissões para a chave aos usuários na sua organização de acordo com os seus requisitos.
-
Você tem segurança aprimorada. Com esse atributo, para ler arquivos de log ou arquivos de resumo, as seguintes permissões são necessárias:
Um usuário deve ter permissões de leitura do S3 para o bucket que contém os arquivos de log e os arquivos de resumo.
Um usuário também deve ter uma política ou função aplicada com permissões de descriptografia pela política da chave do KMS.
-
Como o S3 descriptografa automaticamente os arquivos de log e os arquivos de resumo para solicitações de usuários autorizados a usar a chave do KMS, a criptografia SSE-KMS para os arquivos tem compatibilidade reversa com as aplicações existentes que leem dados de log do CloudTrail.
nota
A chave do KMS que você escolhe precisa ser criada na mesma região da AWS que o bucket do Amazon S3 que recebe os arquivos de log e os arquivos de resumo. Por exemplo, se os arquivos de log e os arquivos de resumo forem ser armazenados em um bucket na região Leste dos EUA (Ohio), você deverá criar ou escolher uma chave do KMS criada nessa região. Para verificar a região de um bucket do Amazon S3, inspecione as respectivas propriedades no console do Amazon S3.
Por padrão, datastores de eventos são criptografados pelo CloudTrail. Você tem a opção de usar sua própria chave do KMS para criptografia ao criar ou atualizar um datastore de eventos.
Ativar a criptografia dos arquivos de log
nota
Se você criar uma chave do KMS no console do CloudTrail, o CloudTrail adicionará as seções de política de chave do KMS necessárias para você. Siga esses procedimentos se você criou uma chave no console do IAM ou na AWS CLI e precisa adicionar manualmente as seções necessárias da política.
Para habilitar a criptografia SSE-KMS para os arquivos de log do CloudTrail, siga estas etapas de alto nível:
-
Crie uma chave do KMS.
-
Para obter informações sobre como criar uma chave do KMS com o Console de gerenciamento da AWS, consulte Criação de chaves no Guia do Desenvolvedor do AWS Key Management Service.
-
Para obter informações sobre como criar uma chave do KMS com a AWS CLI, consulte create-key.
nota
A chave do KMS escolhida deve estar na mesma região que o bucket do S3 que recebe os arquivos de log e os arquivos de resumo. Para verificar a região de um bucket do S3, inspecione as propriedades do bucket no console do S3.
-
-
Adicione seções da política à chave que habilita o CloudTrail a criptografar e os usuários a descriptografar os arquivos de log e os arquivos de resumo.
-
Para obter informações sobre o que incluir na política, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
Atenção
Inclua permissões de descriptografia na política de todos os usuários que precisam ler arquivos de log e arquivos de resumo. Se não executar essa etapa antes de adicionar a chave à configuração da trilha, os usuários que não tiverem permissão de descriptografia não conseguirão ler arquivos criptografados até que essas permissões sejam concedidas para eles.
-
Para obter informações sobre como editar uma política com o console do IAM, consulte Como editar uma política de chaves no Guia do desenvolvedor do AWS Key Management Service.
-
Para obter informações sobre como anexar uma política a uma chave do KMS com a AWS CLI, consulte put-key-policy.
-
-
Atualize a trilha ou o datastore de eventos para usar a chave do KMS cuja política você modificou para o CloudTrail.
-
Para atualizar uma trilha ou um datastore de eventos usando o console do CloudTrail, consulte Atualizar um recurso para usar sua chave do KMS com o console.
-
Para atualizar uma trilha ou um datastore de eventos usando a AWS CLI, consulte Habilitar e desabilitar a criptografia para arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com a AWS CLI.
-
O CloudTrail também é compatível com chaves multirregionais do AWS KMS. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service.
A próxima seção descreve as seções que sua política de chaves do KMS exige para utilização com o CloudTrail.
