检测
分析

确保CloudTrail日志加密使用公里cmk静止

描述

描述:

AWS CloudTrail AWS API调用一个web服务,它记录为一个账户,让那些日志可用于用户和资源依照我的政策。AWS密钥管理服务(公里)是一个管理服务,帮助创建和控制帐户数据加密密钥用于加密,并使用硬件安全模块(hsm)保护加密密钥的安全性。CloudTrail日志可以配置利用服务器端加密(SSE)和公里客户创建主键凯玛特为)进一步保护CloudTrail日志。建议使用SSE-KMS CloudTrail进行配置。

理由是:

配置CloudTrail使用SSE-KMS提供了额外的保密控制日志数据作为一个给定的用户必须S3读权限对应的日志桶和必须被授予解密CMK许可政策。

修复

执行以下配置CloudTrail使用SSE-KMS:

从控制台:

  1. 在AWS管理控制台和打开CloudTrail控制台https://console.aws.amazon.com/cloudtrail
  2. 在左侧导航窗格中,选择“路径”。
  3. 点击一个小道
  4. 在S3的部分单击编辑按钮(铅笔图标)
  5. 点击“高级”
  6. 选择一个已存在的CMK公里key Id的下拉菜单
  • 注意:确保CMK位于同一地区S3 bucket
  • 注意:您将需要应用一个公里关键政策选择CMK为了CloudTrail作为服务使用CMK提供加密和解密日志文件。提供的步骤在这里编辑所选CMK关键政策
  1. 点击“保存”
  2. 您将看到一个通知消息说你需要解密权限指定公里钥解密日志文件。
  3. 点击“是的”

从命令行:

aws cloudtrail update-trail——姓名——kms-id
aws公里put-key-policy - key id -政策

政策细节

规则引用ID: AC_AWS_0033
CSP: AWS
修复可用: 是的
: 日志记录和监控
资源: aws_cloudtrail
资源类别: 日志记录和监控
资源类型: CloudTrail

框架

Baidu
map