本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用密 Amazon KMS 钥加密 CloudTrail 日志文件 (SSE-KMS)
默认情况下,通过使用服务器端加密和 KMS 密钥 (SSE-KMS) 对传输 CloudTrail 到您的存储桶的日志文件进行加密。如果您未启用 SSE-KMS 加密,则您的日志将使用 SSE-S3 加密进行加密。
注意
启用服务器端加密将使用 SSE-KMS 加密日志文件而不加密摘要文件。摘要文件使用 Simple Storage Service(Amazon S3)托管加密密钥(SSE-S3)加密。
如果您使用带有 S3 存储桶密钥的现有 S3 存储桶,则 CloudTrail 必须获得密钥策略中的许可才能使用 Amazon KMS 操作GenerateDataKey和DescribeKey。如果未在密钥策略中授予 cloudtrail.amazonaws.com 这些权限,则无法创建或更新跟踪。
要将 SSE-KMS 与配合使用 CloudTrail,您需要创建并管理 KMS 密钥,也称为。Amazon KMS key您可以为密钥附加策略,以确定哪些用户可以使用该密钥来加密和解密日志文件 CloudTrail 。通过 S3 可实现无缝解密。当密钥的授权用户读取 CloudTrail 日志文件时,S3 会管理解密,授权用户可以读取未加密形式的日志文件。
这种方法有以下优势:
-
您可以自行创建和管理 KMS 密钥加密密钥。
-
您可以使用单个 KMS 密钥对所有区域中的多个账户的日志文件进行加密和解密。
-
您可以控制谁可以使用您的密钥来加密和解密日志文件 CloudTrail 。您可以根据自己的要求,将密钥的权限分配给组织中的用户。
-
安全性更高。使用此功能时,为了读取日志文件,需要以下权限:
用户必须对包含日志文件的存储桶具有 S3 读取权限。
用户还必须应用了允许通过 KMS 密钥策略解密权限的策略或角色。
-
由于 S3 会自动解密来自有权使用 KMS 密钥的用户的请求的日志文件,因此日志文件的 SSE-KMS 加密与读取 CloudTrail 日志数据的应用程序向后兼容。 CloudTrail
注意
您选择的 KMS 密钥必须与接收您的日志文件的 Amazon S3 存储桶在同一 Amazon 区域创建。例如,如果日志文件将存储在美国东部(俄亥俄)区域的存储桶中,则必须在该区域中创建一个 KMS 密钥,或者选择一个在该区域中创建的 KMS 密钥。要验证 S3 存储桶的区域,请在 Simple Storage Service(Amazon S3)控制台中检查其属性。
启用日志文件加密
注意
如果您在 CloudTrail 控制台中创建 KMS 密钥,则会为您 CloudTrail 添加所需的 KMS 密钥策略部分。如果您在 IAM 控制台中创建了密钥,或者 Amazon CLI 需要手动添加所需的策略部分,请按照以下步骤操作。
要为 CloudTrail 日志文件启用 SSE-KMS 加密,请执行以下高级步骤:
-
创建 KMS 密钥。
注意
您选择的 KMS 密钥必须与接收日志文件的 S3 存储桶位于同一个区域。要验证某个 S3 存储桶的区域,请在 S3 控制台中检查该存储桶的属性。
-
在密钥中添加 CloudTrail 允许加密和用户解密日志文件的策略部分。
-
有关将包含在策略中的内容的信息,请参阅为 CloudTrail 配置 Amazon KMS 密钥策略。
警告
请务必在策略中为需要读取日志文件的所有用户包含解密权限。如果在将密钥添加到跟踪配置前未执行此步骤,则无解密权限的用户将无法读取加密的文件,直至您向他们授予这些权限。
-
有关使用 IAM 控制台编辑策略的信息,请参阅 Amazon Key Management Service 开发人员指南中的编辑密钥策略。
-
有关使用将策略附加到 KMS 密钥的信息 Amazon CLI,请参阅put-key-policy。
-
-
更新您的跟踪以使用您修改其策略的 KMS 密钥 CloudTrail。
-
要使用 CloudTrail 控制台更新您的跟踪配置,请参阅更新资源以使用 KMS 密钥。
-
要使用更新您的跟踪配置 Amazon CLI,请参阅使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密。
-
CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。
下一节介绍与您的 KMS 密钥策略一起使用所需的策略部分 CloudTrail。