As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Práticas recomendadas de criptografia para AWS CloudTrail O [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) ajuda a habilitar governança, conformidade e auditorias operacionais e de risco da sua Conta da AWS. Considere as seguintes práticas recomendadas de criptografia para esse serviço: + CloudTrail os registros devem ser criptografados usando um sistema gerenciado pelo cliente AWS KMS key. Escolha uma chave do KMS que esteja na mesma região que o bucket do S3 que recebe seus arquivos de log. Para obter mais informações, consulte [Atualizar uma trilha para usar sua chave do KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html). + Como uma camada de segurança adicional, habilite a validação do arquivo de log para trilhas. Isso ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Para obter instruções, consulte [Habilitando a validação da integridade do arquivo de log para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html). + Use endpoints VPC de interface para permitir CloudTrail a comunicação com recursos em outros VPCs sem atravessar a Internet pública. Para obter mais informações, consulte [Usar a AWS CloudTrail com endpoints da VPC de interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html). + Adicione uma chave de `aws:SourceArn` condição à política de chaves do KMS para garantir que a chave do KMS seja CloudTrail usada somente para uma trilha ou trilhas específicas. Para obter mais informações, consulte [Configurar AWS KMS key políticas para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html). + Em AWS Config, implemente a regra [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) AWS gerenciada para validar e aplicar a criptografia do arquivo de log. + Se CloudTrail estiver configurado para enviar notificações por meio de tópicos do Amazon Simple Notification Service (Amazon SNS), adicione `aws:SourceArn` uma chave de condição (ou `aws:SourceAccount` opcionalmente) à declaração de política para impedir CloudTrail o acesso não autorizado da conta ao tópico do SNS. Para obter mais informações, consulte a [política de tópicos do Amazon SNS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-permissions-for-sns-notifications.html) para. CloudTrail + Se você estiver usando AWS Organizations, crie uma trilha da organização que registre todos os Contas da AWS eventos dessa organização. Isso inclui a conta de gerenciamento e todas as contas-membros na organização. Para obter mais informações, consulte [Criar uma trilha para uma organização](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html). + Crie uma trilha que [se aplique a todos os Regiões da AWS](https://aws.amazon.com/blogs/mt/aws-cloudtrail-best-practices/) locais em que você armazena dados corporativos, para registrar a Conta da AWS atividade nessas regiões. Quando AWS inicia uma nova região, inclui CloudTrail automaticamente a nova região e registra eventos nessa região.