本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用密 Amazon KMS 钥加密 CloudTrail 日志文件、摘要文件和事件数据存储 (SSE-KMS)
默认情况下,通过使用服务器端加密和 KMS 密钥 (SSE-KMS) 对传输 CloudTrail 到您的存储桶的日志文件和摘要文件进行加密。如果您未启用 SSE-KMS 加密,则您的日志文件和摘要文件将使用 SSE-S3 加密进行加密。
注意
如果您使用带有 S3 存储桶密钥的现有 S3 存储桶,则 CloudTrail 必须获得密钥策略中的许可才能使用 Amazon KMS 操作GenerateDataKey和DescribeKey。如果未在密钥策略中授予 cloudtrail.amazonaws.com 这些权限,则无法创建或更新跟踪。
要将 SSE-KMS 与配合使用 CloudTrail,您需要创建并管理。Amazon KMS key您可以为密钥附加策略,以确定哪些用户可以使用该密钥来加密和解密 CloudTrail 日志文件和摘要文件。通过 S3 可实现无缝解密。当密钥的授权用户读取 CloudTrail 日志文件或摘要文件时,S3 会管理解密,授权用户可以读取未加密形式的文件。
这种方法有以下优势:
-
您可以自己创建和管理 KMS 密钥。
-
您可以使用单个 KMS 密钥来加密和解密所有区域中多个账户的日志文件和摘要文件。
-
您可以控制谁可以使用您的密钥来加密和解密 CloudTrail 日志文件和摘要文件。您可以根据自己的要求,将密钥的权限分配给组织中的用户。
-
安全性更高。使用此功能,要读取日志文件或摘要文件,需要以下权限:
用户必须对包含日志文件和摘要文件的存储桶拥有 S3 读取权限。
用户还必须应用了允许通过 KMS 密钥策略解密权限的策略或角色。
-
由于 S3 会自动解密有权使用 KMS 密钥的用户的请求的日志文件和摘要文件,因此这些文件的 SSE-KMS 加密与读取日志数据的应用程序向后兼容。 CloudTrail
注意
您选择的 KMS 密钥必须与接收您的日志文件和摘要文件的 Amazon S3 存储桶位于同一 Amazon 区域。例如,如果日志文件和摘要文件将存储在美国东部(俄亥俄州)地区的存储桶中,则必须创建或选择在该地区创建的 KMS 密钥。要验证 S3 存储桶的区域,请在 Simple Storage Service(Amazon S3)控制台中检查其属性。
默认情况下,事件数据存储由加密 CloudTrail。创建或更新事件数据存储时,您可以选择使用自己的 KMS 密钥进行加密。
启用日志文件加密
注意
如果您在 CloudTrail 控制台中创建 KMS 密钥,则会为您 CloudTrail 添加所需的 KMS 密钥策略部分。如果您在 IAM 控制台中创建了密钥,或者 Amazon CLI 需要手动添加所需的策略部分,请按照以下步骤操作。
要为 CloudTrail 日志文件启用 SSE-KMS 加密,请执行以下高级步骤:
-
创建 KMS 密钥。
注意
您选择的 KMS 密钥必须与接收您的日志文件和摘要文件的 S3 存储桶位于同一区域。要验证某个 S3 存储桶的区域,请在 S3 控制台中检查该存储桶的属性。
-
在密钥中添加允许加密的策略部分,并 CloudTrail 允许用户解密日志文件和摘要文件。
-
有关将包含在策略中的内容的信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。
警告
请务必在策略中为需要读取日志文件或摘要文件的所有用户提供解密权限。如果在将密钥添加到跟踪配置前未执行此步骤,则无解密权限的用户将无法读取加密的文件,直至您向他们授予这些权限。
-
有关使用 IAM 控制台编辑策略的信息,请参阅 Amazon Key Management Service 开发人员指南中的编辑密钥策略。
-
有关使用将策略附加到 KMS 密钥的信息 Amazon CLI,请参阅put-key-policy。
-
-
更新您的跟踪或事件数据存储以使用您修改其策略的 KMS 密钥 CloudTrail。
-
要使用 CloudTrail 控制台更新跟踪或事件数据存储,请参阅通过控制台更新资源以使用 KMS 密钥。
-
要使用更新跟踪或事件数据存储 Amazon CLI,请参阅使用启用和禁用 CloudTrail 日志文件、摘要文件和事件数据存储的加密 Amazon CLI。
-
CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。
下一节介绍与您的 KMS 密钥策略一起使用所需的策略部分 CloudTrail。