描述:
AWS CloudTrail AWS API调用一个web服务,它记录为一个账户,让那些日志可用于用户和资源依照我的政策。AWS密钥管理服务(公里)是一个管理服务,帮助创建和控制帐户数据加密密钥用于加密,并使用硬件安全模块(hsm)保护加密密钥的安全性。CloudTrail日志可以配置利用服务器端加密(SSE)和公里客户创建主键凯玛特为)进一步保护CloudTrail日志。建议使用SSE-KMS CloudTrail进行配置。
理由是:
配置CloudTrail使用SSE-KMS提供了额外的保密控制日志数据作为一个给定的用户必须S3读权限对应的日志桶和必须被授予解密CMK许可政策。
执行以下配置CloudTrail使用SSE-KMS:
从控制台:
从命令行:
aws cloudtrail update-trail——姓名——kms-id
aws公里put-key-policy - key id -政策
。