本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 的加密最佳实践 AWS CloudTrail [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 可帮助您审计 AWS 账户的治理、合规性、运营和风险。 考虑下面针对该服务的加密最佳实践: + CloudTrail 应使用客户管理的日志进行加密 AWS KMS key。选择与接收日志文件的 S3 存储桶位于同一个区域的 KMS 密钥。有关更多信息,请参阅 [Updating a trail to use your KMS key](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html)。 + 作为额外的安全层,为跟踪启用日志文件验证。这可以帮助您确定日志文件在 CloudTrail 传送后是被修改、删除还是未更改。有关说明,请参阅[启用日志文件完整性验证 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)。 + 使用接口 VPC 终端节点 CloudTrail , VPCs 无需通过公共 Internet 即可与其他资源进行通信。有关更多信息,请参阅 [Using AWS CloudTrail with interface VPC endpoints](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html)。 + 向 KMS 密钥策略添加`aws:SourceArn`条件密钥,以确保该策略仅对一个或多个特定的跟踪 CloudTrail 使用 KMS 密钥。有关更多信息,请参阅[为配置 AWS KMS key 策略 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html)。 + 在中 AWS Config,实施[cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) AWS 托管规则以验证和强制执行日志文件加密。 + 如果配置 CloudTrail 为通过亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题发送通知,请在策略声明中添加`aws:SourceArn`(或`aws:SourceAccount`可选)条件密钥,以防止账户未经授权访问该 SNS 主题。 CloudTrail 有关更多信息,请参阅 [Amazon SNS 主题政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-permissions-for-sns-notifications.html)。 CloudTrail + 如果您正在使用 AWS Organizations,请创建记录该组织 AWS 账户 中所有事件的组织跟踪。这包括组织中的管理账户和所有成员账户。有关更多信息,请参阅 [Creating a trail for an organization](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。 + 创建一条[适用于您存储公司数据的所有 AWS 区域](https://aws.amazon.com/blogs/mt/aws-cloudtrail-best-practices/)位置的跟踪,以记录这些地区的 AWS 账户 活动。 AWS 启动新区域时, CloudTrail 会自动包含新区域并记录该区域中的事件。