本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 中的基础设施安全 Amazon CloudTrail
<a name="infrastructure-security"></a>

作为一项托管服务 Amazon CloudTrail ，受 Amazon 全球网络安全的保护。有关 Amazon 安全服务以及如何 Amazon 保护基础设施的信息，请参阅[Amazon 云安全](https://www.amazonaws.cn/security/)。要使用基础设施安全的最佳实践来设计您的 Amazon 环境，请参阅 S * Amazon ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.amazonaws.cn/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 Amazon 已发布的 API 调用 CloudTrail 通过网络进行访问。客户端必须支持以下内容：
+ 传输层安全性协议（TLS）。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 具有完全向前保密（PFS）的密码套件，例如 DHE（临时 Diffie-Hellman）或 ECDHE（临时椭圆曲线 Diffie-Hellman）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

以下安全最佳实践还涉及以下方面的基础架构安全 CloudTrail：
+ [考虑使用 Amazon VPC 端点进行跟踪访问。](cloudtrail-and-interface-VPC.md)
+ 考虑使用 Amazon VPC 端点进行 Amazon S3 存储桶访问。有关更多信息，请参阅[使用存储桶策略控制从 VPC 端点的访问](https://docs.amazonaws.cn/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html)。
+ 识别并审计所有包含 CloudTrail 日志文件的 Amazon S3 存储桶。考虑使用标签来帮助识别您的 CloudTrail 跟踪和包含 CloudTrail日志文件的 Amazon S3 存储桶。然后，您可以将资源组用于您的 CloudTrail 资源。有关更多信息，请参阅 [Amazon Resource Groups](https://docs.amazonaws.cn/ARG/latest/userguide/resource-groups.html)。