AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

通过 AWS KMS 托管密钥 (SSE-KMS) 加密 CloudTrail 日志文件

默认情况下,CloudTrail 提交到您存储桶的日志文件是用 Amazon S3 托管加密密钥 (SSE-S3) 通过 Amazon 服务器端加密进行加密的。要提供可直接管理的安全层,您可以对 CloudTrail 日志文件换用AWS KMS 托管密钥 (SSE-KMS) 服务器端加密

注意

启用服务器端加密将使用 SSE-KMS 加密日志文件而不加密摘要文件。摘要文件使用 Amazon S3 托管加密密钥 (SSE-S3) 加密

要对 CloudTrail 使用 SSE-KMS,您需要创建并管理一个 KMS 密钥,也称为客户主密钥 (CMK)。将向密钥挂载策略,策略规定哪些用户可以使用该密钥加密和解密 CloudTrail 日志文件。通过 S3 可实现无缝解密。当密钥的授权用户读取 CloudTrail 日志文件时,S3 管理解密,授权用户可以读取未加密形式的日志文件。

这种方法有以下优势:

  • 您可以自行创建和管理 CMK 加密密钥。

  • 您可以使用单个 CMK 对所有区域中的多个账户的日志文件进行加密和解密。

  • 您可以控制哪些人可以使用您的密钥加密和解密 CloudTrail 日志文件。您可以根据自己的要求,将密钥的权限分配给组织中的用户。

  • 安全性更高。通过这一功能,要读取日志文件,需要以下权限:

    • 用户必须对包含日志文件的存储桶具有 S3 读取权限。

    • 用户还必须应用了允许通过 CMK 策略解密权限的策略或角色。

  • 因为 S3 自动针对获得授权可以使用 CMK 的用户的请求解密日志文件,所以 CloudTrail 日志文件的 SSE-KMS 加密与读取 CloudTrail 日志数据的应用程序后向兼容。

注意

必须在与接收日志文件的 Amazon S3 存储桶相同的 AWS 区域中创建您选择的 CMK。例如,如果日志文件将存储在您选择的 美国东部(俄亥俄州) 区域的存储桶中,则必须在该区域中创建一个 CMK,或者选择一个在该区域中创建的 CMK。要验证 Amazon S3 存储桶的区域,请在 Amazon S3 控制台中检查其属性。

启用日志文件加密

注意

如果您在 CloudTrail 控制台中创建 CMK,CloudTrail 会为您添加所必需的 CMK 策略部分。如果您在 IAM 控制台或 AWS CLI 中创建了密钥,请按照这些步骤操作,您还需要手动添加必需的策略部分。

要对 CloudTrail 日志文件启用 SSE-KMS 加密,请执行以下概要步骤:

  1. 创建 CMK。

    • 有关使用 AWS 管理控制台创建 CMK 的信息,请参阅 AWS Key Management Service Developer Guide 中的创建密钥

    • 有关通过 AWS CLI 创建 CMK 的信息,请参阅 create-key

    注意

    您选择的 CMK 必须与接收日志文件的 S3 存储桶位于同一个区域。要验证某个 S3 存储桶的区域,请在 S3 控制台中检查该存储桶的属性。

  2. 将策略部分添加到密钥,使 CloudTrail 可以加密并且用户可以解密日志文件。

    • 有关将包含在策略中的内容的信息,请参阅为 CloudTrail 配置 AWS KMS 密钥策略

      警告

      请务必在策略中为需要读取日志文件的所有用户包含解密权限。如果在将密钥添加到跟踪配置前未执行此步骤,则无解密权限的用户将无法读取加密的文件,直至您向他们授予这些权限。

    • 有关使用 IAM 控制台编辑策略的信息,请参阅 AWS Key Management Service Developer Guide 中的编辑密钥策略

    • 有关使用 AWS CLI 将策略附加到 CMK 的信息,请参阅 put-key-policy

  3. 更新您的跟踪,以便使用您针对 CloudTrail 修改了策略的 CMK。

下一节介绍 CMK 策略要求用于 CloudTrail 的策略部分。

本页内容: