本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用密 Amazon KMS 钥 (SSE-KMS) 加密 CloudTrail 日志文件
默认情况下,传送 CloudTrail 到您的存储桶的日志文件使用带有KMS密钥 (SSE-KMS) 的服务器端加密进行加密。如果您未启用 SSE-KMS 加密,则您的日志将使用 SSE-S3 加密进行加密。
注意
启用服务器端加密会加密日志文件,但不会使用-对摘要文件进行SSE加密。KMS摘要文件使用亚马逊 S3 托管的加密密钥 (SSE-S3) 进行加密。
如果您使用带有 S3 存储桶密钥的现有 S3 存储桶,则 CloudTrail 必须获得密钥策略中的许可才能使用 Amazon KMS 操作GenerateDataKey
和DescribeKey
。如果未在密钥策略中授予 cloudtrail.amazonaws.com
这些权限,则无法创建或更新跟踪。
要KMS使用 SSE-w CloudTrail ith,则需要创建和管理KMS密钥,也称为Amazon KMS key。您可以为密钥附加策略,以确定哪些用户可以使用该密钥来加密和解密日志文件 CloudTrail 。通过 S3 可实现无缝解密。当密钥的授权用户读取 CloudTrail 日志文件时,S3 会管理解密,授权用户可以读取未加密形式的日志文件。
这种方法有以下优势:
-
您可以自己创建和管理密KMS钥加密密钥。
-
您可以使用单一KMS密钥来加密和解密所有区域中多个账户的日志文件。
-
您可以控制谁可以使用您的密钥来加密和解密日志文件 CloudTrail 。您可以根据自己的要求,将密钥的权限分配给组织中的用户。
-
安全性更高。使用此功能时,为了读取日志文件,需要以下权限:
用户必须对包含日志文件的存储桶具有 S3 读取权限。
用户还必须应用允许按密KMS钥策略解密权限的策略或角色。
-
由于 S3 会自动解密来自有权使用密KMS钥的用户的请求的日志文件,因此 SSE- CloudTrail 日志文件的KMS加密与读取日志数据的应用程序向后兼容。 CloudTrail
注意
您选择的KMS密钥必须在与接收您的日志文件的 Amazon S3 存储桶相同的 Amazon 区域中创建。例如,如果日志文件将存储在美国东部(俄亥俄州)地区的存储桶中,则必须创建或选择在该地区创建的KMS密钥。要验证 S3 存储桶的区域,请在 Simple Storage Service(Amazon S3)控制台中检查其属性。
启用日志文件加密
注意
如果您在 CloudTrail 控制台中创建KMS密钥,则会为您 CloudTrail 添加所需的KMS密钥策略部分。如果您在IAM控制台或中创建了密钥, Amazon CLI 并且需要手动添加所需的策略部分,请按照以下步骤操作。
要对 CloudTrail 日志文件启用 SSE-KMS 加密,请执行以下高级步骤:
-
创建 KMS 密钥。
注意
您选择的KMS密钥必须与接收您的日志文件的 S3 存储桶位于同一区域。要验证某个 S3 存储桶的区域,请在 S3 控制台中检查该存储桶的属性。
-
在密钥中添加策略部分, CloudTrail 允许用户加密日志文件,并允许用户解密日志文件。
-
有关将包含在策略中的内容的信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。
警告
请务必在策略中为需要读取日志文件的所有用户包含解密权限。如果在将密钥添加到跟踪配置前未执行此步骤,则无解密权限的用户将无法读取加密的文件,直至您向他们授予这些权限。
-
有关使用IAM控制台编辑策略的信息,请参阅Amazon Key Management Service 开发人员指南中的编辑密钥策略。
-
有关使用将策略附加到KMS密钥的信息 Amazon CLI,请参阅put-key-policy。
-
-
更新您的跟踪以使用您修改其策略的KMS密钥 CloudTrail。
-
要使用 CloudTrail 控制台更新您的跟踪配置,请参阅通过控制台更新资源以使用 KMS 密钥。
-
要使用更新您的跟踪配置 Amazon CLI,请参阅使用 Amazon CLI 启用和禁用 CloudTrail 日志文件加密。
-
CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。
下一节将介绍与您的KMS密钥策略一起使用所需的策略部分 CloudTrail。