AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

通过 AWS KMS 托管密钥 (SSE-KMS) 加密 CloudTrail 日志文件

默认情况下,CloudTrail 提交到您存储桶的日志文件是用 Amazon S3 托管加密密钥 (SSE-S3) 通过 Amazon 服务器端加密进行加密的。要提供可直接管理的安全层,您可以对 CloudTrail 日志文件换用AWS KMS 托管密钥 (SSE-KMS) 服务器端加密

注意

启用服务器端加密将使用 SSE-KMS 加密日志文件而不加密摘要文件。摘要文件使用 Amazon S3 托管加密密钥 (SSE-S3) 加密

要对 CloudTrail 使用 SSE-KMS,您需要创建并管理一个 KMS 密钥,也称为客户主密钥 (CMK)。将向密钥挂载策略,策略规定哪些用户可以使用该密钥加密和解密 CloudTrail 日志文件。通过 S3 可实现无缝解密。当密钥的授权用户读取 CloudTrail 日志文件时,S3 管理解密,授权用户可以读取未加密形式的日志文件。

这种方法有以下优势:

  • 您可以自行创建和管理 CMK 加密密钥。

  • 您可以使用单个 CMK 对所有区域中的多个账户的日志文件进行加密和解密。

  • 您可以控制哪些人可以使用您的密钥加密和解密 CloudTrail 日志文件。您可以根据自己的要求,将密钥的权限分配给组织中的用户。

  • 安全性更高。有了这一功能后,现在您要想读取日志文件,须满足两个条件:

    • 拥有存储桶的 S3 读取权限。

    • 获得 CMK 策略授予的解密权限。

  • 因为 S3 自动针对获得授权可以使用 CMK 的用户的请求解密日志文件,所以 CloudTrail 日志文件的 SSE-KMS 加密与读取 CloudTrail 日志数据的应用程序后向兼容。

注意

您选择的密钥必须与接收日志文件的 S3 存储桶位于同一个区域。要验证 S3 存储桶的区域,请在 S3 控制台中检查其属性。

启用日志文件加密

注意

如果您在 CloudTrail 控制台中创建 CMK,CloudTrail 会为您添加所必需的 CMK 策略部分。如果您在 IAM 控制台或 AWS CLI 中创建了密钥,请按照这些步骤操作,您还需要手动添加必需的策略部分。

要对 CloudTrail 日志文件启用 SSE-KMS 加密,请执行以下概要步骤:

  1. 创建 CMK。

    • 有关使用 AWS 管理控制台创建 CMK 的信息,请参阅 AWS Key Management Service Developer Guide 中的创建密钥

    • 有关通过 AWS CLI 创建 CMK 的信息,请参阅 create-key

    注意

    您选择的 CMK 必须与接收日志文件的 S3 存储桶位于同一个区域。要验证某个 S3 存储桶的区域,请在 S3 控制台中检查该存储桶的属性。

  2. 将策略部分添加到密钥,使 CloudTrail 可以加密并且用户可以解密日志文件。

    • 有关将包含在策略中的内容的信息,请参阅用于 CloudTrail 的 AWS KMS 密钥策略

      警告

      请务必在策略中为需要读取日志文件的所有用户包含解密权限。如果在将密钥添加到跟踪配置前未执行此步骤,则无解密权限的用户将无法读取加密的文件。

    • 有关使用 IAM 控制台编辑策略的信息,请参阅 AWS Key Management Service Developer Guide 中的编辑密钥策略

    • 有关使用 AWS CLI 将策略附加到 CMK 的信息,请参阅 put-key-policy

  3. 更新您的跟踪,以便使用您针对 CloudTrail 修改了策略的 CMK。

下一节介绍 CMK 策略要求用于 CloudTrail 的策略部分。

本页内容: