Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS KMS claves (SSE-KMS)
De forma predeterminada, los archivos de registro y los archivos de resumen CloudTrail que entrega el bucket se cifran mediante el cifrado del lado del servidor con una clave KMS (SSE-KMS). Si no habilita el cifrado SSE-KMS, los archivos de registro y de resumen se cifrarán mediante el cifrado SSE-S3.
nota
Si utilizas un bucket de S3 existente con una clave de bucket de S3, CloudTrail debes tener permiso en la política de claves para usar las acciones y. AWS KMS GenerateDataKey DescribeKey Si cloudtrail.amazonaws.com no tiene estos permisos en la política de claves, no se puede crear ni actualizar un registro de seguimiento.
Para usar SSE-KMS con CloudTrail, debe crear y administrar un. AWS KMS key Adjunta una política a la clave que determina qué usuarios pueden utilizarla para cifrar y descifrar los archivos de CloudTrail registro y los archivos de resumen. El proceso de descifrado transcurre de manera fluida a través de S3. Cuando los usuarios autorizados de la clave leen los archivos de CloudTrail registro o los archivos de resumen, S3 gestiona el descifrado y los usuarios autorizados pueden leer los archivos sin cifrar.
Este enfoque tiene las siguientes ventajas:
-
Puede crear y administrar la clave de KMS usted mismo.
-
Puede utilizar una única clave de KMS para cifrar y descifrar los archivos de registros y de resumen de varias cuentas en todas las regiones.
-
Usted controla quién puede usar su clave para cifrar y descifrar los archivos de CloudTrail registro y los archivos de resumen. Puede asignar permisos para la clave a los usuarios de su organización, según sus requisitos.
-
Aumenta la seguridad. Con esta característica, se necesitan los siguientes permisos para poder leer archivos de registros y de resumen:
Un usuario debe tener permisos de lectura de S3 para el bucket que contiene los archivos de registro y de resumen.
También se debe aplicar a un usuario una política o un rol que la política de la clave de KMS conceda permisos de descifrado.
-
Como S3 descifra automáticamente los archivos de registro y los archivos de resumen para las solicitudes de los usuarios autorizados a usar la clave KMS, el cifrado SSE-KMS de los archivos es compatible con versiones anteriores de las aplicaciones que leen datos de registro. CloudTrail
nota
La clave de KMS que elija debe crearse en la misma AWS región que el bucket de Amazon S3 que recibe los archivos de registro y los archivos de resumen. Por ejemplo, si los archivos de registros y de registro se almacenarán en un bucket en la región Este de EE. UU. (Ohio), debe crear o elegir una clave de KMS que se haya creado en esa región. Para verificar la región a la que pertenece un bucket de Amazon S3, consulte sus propiedades en la consola de Amazon S3.
De forma predeterminada, los almacenes de datos de eventos se cifran con CloudTrail. Tiene la opción de usar su propia clave de KMS para el cifrado al crear o actualizar un almacén de datos de eventos.
Activación del cifrado de los archivos de registro
nota
Si crea una clave de KMS en la CloudTrail consola, CloudTrail añade automáticamente las secciones de política de claves de KMS necesarias. Siga estos procedimientos si ha creado una clave en la consola de IAM o AWS CLI si necesita añadir manualmente las secciones de política necesarias.
Para habilitar el cifrado SSE-KMS para los archivos de CloudTrail registro, lleve a cabo los siguientes pasos generales:
-
Creación de una clave de KMS.
-
Para obtener información sobre cómo crear una clave KMS con Consola de administración de AWS, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.
-
Para obtener información sobre cómo crear una clave KMS con AWS CLI, consulte create-key.
nota
La clave de KMS que elija debe estar en la misma región que el bucket de S3 que recibe los archivos de registros y de resumen. Para verificar la región a la que pertenece un bucket de S3, inspecciones las propiedades del bucket en la consola de S3.
-
-
Agregue secciones de políticas a la clave que permitan cifrar y CloudTrail a los usuarios descifrar los archivos de registro y los archivos de resumen.
-
Para obtener información sobre qué es lo que debe incluir en la política, consulte Configure las políticas AWS KMS clave para CloudTrail.
aviso
Asegúrese de incluir permisos de descifrado en la política para todos los usuarios que necesitan leer archivos de registro y de resumen. Si no realiza este paso antes de añadir la clave a la configuración del registro de seguimiento, los usuarios que no dispongan de permisos de descifrado no podrán leer archivos cifrados hasta que les conceda esos permisos.
-
Para obtener más información sobre cómo editar una política con la consola de IAM, consulte Edición de una política de claves en la Guía para desarrolladores AWS Key Management Service .
-
Para obtener información sobre cómo adjuntar una política a una clave de KMS con el AWS CLI, consulte. put-key-policy
-
-
Actualice el banco de datos de rutas o eventos para usar la clave de KMS cuya política modificó. CloudTrail
-
Para actualizar un banco de datos de senderos o eventos mediante la CloudTrail consola, consulteActualización de un recurso para que utilice su clave de KMS con la consola.
-
Para actualizar un banco de datos de senderos o eventos mediante el AWS CLI, consulteActivación y desactivación del cifrado de archivos de CloudTrail registro, archivos de resumen y almacenes de datos de eventos con AWS CLI.
-
CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .
En la siguiente sección, se describen las secciones de política con CloudTrail las que debe utilizarse su política de claves de KMS.
