

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的加密最佳實務 AWS CloudTrail
<a name="cloudtrail"></a>

[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 可協助您稽核 AWS 帳戶的監管、合規、操作和風險。

請考慮此服務的下列加密最佳實務：
+ CloudTrail 日誌應使用客戶受管 AWS KMS key進行加密。選擇位在與收到您日誌檔案之 S3 儲存貯體相同區域中的 KMS 金鑰。如需詳細資訊，請參閱[更新追蹤以使用您的 KMS 金鑰](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html)。
+ 作為額外的安全層，啟用追蹤的日誌檔案驗證。這可協助您確定日誌檔案在 CloudTrail 交付後是否已修改、刪除或未變更。如需說明，請參閱[啟用 CloudTrail 的日誌檔案完整性驗證](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)。
+ 使用介面 VPC 端點可讓 CloudTrail 與其他 VPC 中的資源進行通訊，而無需周遊公有網際網路。如需詳細資訊，請參閱[將 AWS CloudTrail 與介面 VPC 端點搭配使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html)。
+ 將 `aws:SourceArn` 條件金鑰新增至 KMS 金鑰政策，可確保 CloudTrail 僅針對特定追蹤使用 KMS 金鑰。如需詳細資訊，請參閱[設定 CloudTrail AWS KMS key 的政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html)。
+ 在 中 AWS Config，實作[cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) AWS 受管規則，以驗證和強制執行日誌檔案加密。
+ 如果 CloudTrail 設定為透過 Amazon Simple Notification Service (Amazon SNS) 主題傳送通知，請將 `aws:SourceArn` (或選用 `aws:SourceAccount`) 條件金鑰新增至 CloudTrail 政策陳述式，以防止未經授權的帳戶存取 SNS 主題。如需詳細資訊，請參閱[適用於 CloudTrail 的 Amazon SNS 主題政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-permissions-for-sns-notifications.html)。
+ 如果您使用的是 AWS Organizations，請建立組織線索，記錄 AWS 帳戶 該組織中 的所有事件。這包括組織中的管理帳戶和所有成員帳戶。如需詳細資訊，請參閱[為組織建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。
+ 建立[適用於您存放公司資料之所有 AWS 區域](https://aws.amazon.com/blogs/mt/aws-cloudtrail-best-practices/) 的線索，以記錄這些區域中 AWS 帳戶 的活動。當 AWS 啟動新區域時，CloudTrail 會自動包含新區域，並記錄該區域中的事件。