Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configurar políticas AWS KMS clave para CloudTrail
Puede crear una AWS KMS key de tres maneras:
+ La CloudTrail consola
+ La consola AWS de administración
+ La AWS CLI
**nota**
Si crea una clave de KMS en la CloudTrail consola, CloudTrail le agrega la política de claves de KMS necesaria. No es necesario que añada manualmente las instrucciones de política. Consulte [Política de claves de KMS predeterminada creada en la consola CloudTrail](default-kms-key-policy.md).
Si crea una clave de KMS en la Consola de administración de AWS o en AWS CLI, debe añadir secciones de políticas a la clave para poder utilizarla con ella CloudTrail. La política debe permitir CloudTrail el uso de la clave para cifrar los archivos de registro, los archivos de resumen y los almacenes de datos de eventos, y permitir que los usuarios que especifique lean los archivos de registro y los archivos de resumen sin cifrar.
Consulte los siguientes recursos:
+ [Para crear una clave KMS con AWS CLI, consulte create-key.](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)
+ Para editar una política de claves de KMS CloudTrail, consulte [Edición de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) en la Guía para *AWS Key Management Service desarrolladores*.
+ Para obtener información técnica sobre cómo se CloudTrail usa AWS KMS, consulte[Cómo AWS CloudTrail usa AWS KMS](how-kms-works-with-cloudtrail.md).
**Topics**
+ [
## Secciones clave de la política de KMS obligatorias para su uso con CloudTrail
](#create-kms-key-policy-for-cloudtrail-policy-sections)
+ [
## Otorgar permisos de cifrado para los registros de seguimiento
](#create-kms-key-policy-for-cloudtrail-encrypt)
+ [
## Otorgar permisos de cifrado para los almacenes de datos de eventos
](#create-kms-key-policy-for-cloudtrail-encrypt-eds)
+ [
## Otorgar permisos de descifrado para los registros de seguimiento
](#create-kms-key-policy-for-cloudtrail-decrypt)
+ [
## Otorgar permisos de descifrado para los almacenes de datos de eventos
](#create-kms-key-policy-for-cloudtrail-decrypt-eds)
+ [
## Habilite esta opción CloudTrail para describir las propiedades clave de KMS
](#create-kms-key-policy-for-cloudtrail-describe)
+ [
# Política de claves de KMS predeterminada creada en la consola CloudTrail
](default-kms-key-policy.md)
## Secciones clave de la política de KMS obligatorias para su uso con CloudTrail
Si ha creado una clave de KMS con la consola de AWS administración o la AWS CLI, debe añadir, como mínimo, las siguientes instrucciones a su política de claves de KMS para que funcione CloudTrail.
**Topics**
+ [
### Elementos de política de clave de KMS necesarios para los registros de seguimiento
](#required-kms-key-policy-trails)
+ [
### Elementos de política de clave de KMS necesarios para los almacenes de datos de eventos
](#required-kms-key-policy-eventdatastores)
### Elementos de política de clave de KMS necesarios para los registros de seguimiento
1. Conceda permisos para cifrar los archivos de CloudTrail registro y resumen. Para obtener más información, consulte [Otorgar permisos de cifrado para los registros de seguimiento](#create-kms-key-policy-for-cloudtrail-encrypt).
1. Otorgue permisos para descifrar los archivos de CloudTrail registro y resumen. Para obtener más información, consulte [Otorgar permisos de descifrado para los registros de seguimiento](#create-kms-key-policy-for-cloudtrail-decrypt). Si está utilizando un bucket de S3 existente con una [Clave de bucket de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), los permisos `kms:Decrypt` son necesarios para crear o actualizar un registro de seguimiento con el cifrado SSE-KMS habilitado.
1. CloudTrail Actívela para describir las propiedades clave de KMS. Para obtener más información, consulte [Habilite esta opción CloudTrail para describir las propiedades clave de KMS](#create-kms-key-policy-for-cloudtrail-describe).
Como práctica recomendada de seguridad, agregue una clave de condición `aws:SourceArn` a la política de claves de KMS. La clave de condición global del IAM `aws:SourceArn` ayuda a garantizar que se CloudTrail utilice la clave KMS solo para una o varias rutas específicas. El valor de `aws:SourceArn` es siempre el ARN de la ruta (o matriz de rutas ARNs) que utiliza la clave KMS. Asegúrese de agregar la clave de condiciones `aws:SourceArn` de las políticas clave de KMS para las trazas existentes.
La clave de condición `aws:SourceAccount` también se admite, aunque no se recomienda. El valor de `aws:SourceAccount` es el ID de cuenta del propietario del traza, para las trazas de la organización, el ID de cuenta de administración.
**importante**
Cuando agregue las secciones nuevas a su política de clave de KMS, no cambie las secciones existentes en la política.
Si el cifrado está habilitado en un rastro y la clave de KMS está deshabilitada o la política de claves de KMS no está configurada correctamente CloudTrail, no CloudTrail se pueden entregar los registros.
### Elementos de política de clave de KMS necesarios para los almacenes de datos de eventos
1. Otorgue permisos para cifrar un almacén de datos de eventos de CloudTrail Lake. Para obtener más información, consulte [Otorgar permisos de cifrado para los almacenes de datos de eventos](#create-kms-key-policy-for-cloudtrail-encrypt-eds).
1. Otorgue permisos para descifrar un banco de datos de eventos de CloudTrail Lake. Para obtener más información, consulte [Otorgar permisos de descifrado para los almacenes de datos de eventos](#create-kms-key-policy-for-cloudtrail-decrypt-eds).
Tanto para crear un almacén de datos de eventos y cifrarlo con una clave de KMS como para ejecutar consultas en un almacén de datos de eventos que esté cifrando con una clave de KMS, debe tener acceso de escritura a la clave de KMS. La política de claves de KMS debe tener acceso al CloudTrail almacén de datos de eventos y los usuarios que ejecutan operaciones (como consultas) en el almacén de datos de eventos deben poder administrarla.
1. CloudTrail Actívela para describir las propiedades clave de KMS. Para obtener más información, consulte [Habilite esta opción CloudTrail para describir las propiedades clave de KMS](#create-kms-key-policy-for-cloudtrail-describe).
Las claves de condición `aws:SourceArn` y `aws:SourceAccount` no se admiten en las políticas de claves de KMS para los almacenes de datos de eventos.
**importante**
Cuando agregue las secciones nuevas a su política de clave de KMS, no cambie las secciones existentes en la política.
Si el cifrado está habilitado en un almacén de datos de eventos y la clave de KMS está deshabilitada o eliminada, o si la política de claves de KMS no está configurada correctamente CloudTrail, CloudTrail no podrá entregar eventos a su banco de datos de eventos.
## Otorgar permisos de cifrado para los registros de seguimiento
**Example Permite CloudTrail cifrar archivos de registro y archivos de resumen en nombre de cuentas específicas**
CloudTrail necesita un permiso explícito para usar la clave KMS para cifrar los archivos de registro y los archivos de resumen en nombre de cuentas específicas. Para especificar una cuenta, añada la siguiente declaración obligatoria a su política de claves de KMS y *account-id* sustitúyala *trailName* por los valores adecuados para su configuración. *region* Puede añadir una cuenta adicional IDs a la `EncryptionContext` sección para permitir que esas cuentas usen su clave KMS CloudTrail para cifrar los archivos de registro y los archivos de resumen.
Como práctica recomendada de seguridad, agregue una clave de condición `aws:SourceArn` a la política de clave de KMS para un registro de seguimiento. La clave de condición global de IAM `aws:SourceArn` ayuda a garantizar que se CloudTrail utilice la clave KMS solo para una o varias rutas específicas.
```
{
"Sid": "AllowCloudTrailEncryptLogs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:account-id:trail/*"
}
}
}
```
**Example**
El siguiente ejemplo de declaración de política ilustra cómo otra cuenta puede usar tu clave KMS para cifrar los archivos de CloudTrail registro y resumir los archivos.
**Escenario**
+ Su clave de KMS está en la cuenta *111111111111*.
+ Tanto usted como la cuenta *222222222222* cifrarán los registros.
En la política, agregas una o más cuentas que se cifran con tu clave. CloudTrail **EncryptionContext** Esto limita el uso de CloudTrail la clave para cifrar los archivos de registro y resumir los archivos únicamente de las cuentas que especifique. Cuando concedes *222222222222* permiso al administrador de la cuenta para cifrar los archivos de registro y los archivos de resumen, delega en el administrador de la cuenta el permiso para cifrar los permisos necesarios a otros usuarios de esa cuenta. Para ello, el administrador de la cuenta cambia las políticas asociadas a esos usuarios de IAM.
Como práctica recomendada de seguridad, agregue una clave de condición `aws:SourceArn` a la política de claves de KMS. La clave de condición global de IAM `aws:SourceArn` ayuda a garantizar que se CloudTrail utilice la clave KMS solo para las rutas especificadas. Esta condición no se admite en las políticas de claves de KMS para los almacenes de datos de eventos.
Instrucción de la política de claves de KMS:
```
{
"Sid": "EnableCloudTrailEncryptPermissions",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": [
"arn:aws:cloudtrail:*:111111111111:trail/*",
"arn:aws:cloudtrail:*:222222222222:trail/*"
]
},
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Para obtener más información sobre cómo editar una política de claves de KMS para usarla con CloudTrail ella, consulte [Edición de una política clave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) en la Guía para AWS Key Management Service desarrolladores.
## Otorgar permisos de cifrado para los almacenes de datos de eventos
Una política para una clave de KMS utilizada para cifrar un banco de datos de eventos de CloudTrail Lake no puede usar las claves de condición `aws:SourceArn` o`aws:SourceAccount`. A continuación, se muestra un ejemplo de política de una clave de KMS para un almacén de datos de eventos.
```
{
"Sid": "AllowCloudTrailEncryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
## Otorgar permisos de descifrado para los registros de seguimiento
Antes de añadir la clave KMS a la CloudTrail configuración, es importante conceder permisos de descifrado a todos los usuarios que los necesiten. Los usuarios que tienen permisos de cifrado, pero no permisos de descifrado no pueden leer los registros cifrados. Si está utilizando un bucket de S3 existente con una [Clave de bucket de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), los permisos `kms:Decrypt` son necesarios para crear o actualizar un registro de seguimiento con el cifrado SSE-KMS habilitado.
**Habilite los permisos de descifrado de CloudTrail registros**
Los usuarios de su clave deben tener permisos explícitos para leer los archivos de registro que CloudTrail ha cifrado. Para habilitar a los usuarios para que puedan leer archivos de registros cifrados, agregue la siguiente instrucción necesaria a su política de claves de KMS y modifique la sección `Principal` para agregar una línea para cada entidad principal a la que desee permitir descifrar con su clave de KMS.
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
El siguiente es un ejemplo de política que se requiere para permitir que el director del CloudTrail servicio descifre los registros de seguimiento.
```
{
"Sid": "AllowCloudTrailDecryptTrail",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
### Permitir a los usuarios de su cuenta descifrar los registros de seguimiento con su clave de KMS
**Ejemplo**
Esta instrucción de política ilustra cómo permitir que un usuario o un rol de su cuenta use su clave para leer registros cifrados en el bucket de S3 de su cuenta.
**Example Escenario**
+ Su clave de KMS, el bucket de S3 y el usuario de IAM Bob están en la cuenta `111111111111`.
+ Le das permiso al usuario de IAM Bob para descifrar los CloudTrail registros del bucket de S3.
En la política de claves, habilita los permisos de descifrado de CloudTrail registros para el usuario Bob de IAM.
Instrucción de la política de claves de KMS:
```
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/Bob"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**Topics**
### Permitir a los usuarios de otras cuentas descifrar los registros de seguimiento con su clave de KMS
Puede permitir que los usuarios de otras cuentas utilicen su clave de KMS para descifrar registros del registro de seguimiento. Los cambios necesarios en su política de claves dependen de si el bucket de S3 se encuentra en su cuenta o en otra cuenta.
#### Permitir a los usuarios de un bucket de otra cuenta descifrar archivos de registro
**Ejemplo**
Esta instrucción de política ilustra cómo permitir que un usuario o un rol de IAM de otra cuenta use su clave para leer archivos de registro cifrados de un bucket de S3 de la otra cuenta.
**Escenario**
+ Su clave de KMS está en la cuenta `111111111111`.
+ El usuario de IAM Alice y el bucket de S3 se encuentran en la cuenta `222222222222`.
En este caso, usted CloudTrail autoriza a descifrar los registros de la cuenta `222222222222` y autoriza a la política de usuario de IAM de Alice a utilizar su clave`KeyA`, que está en la cuenta. `111111111111`
Instrucción de la política de claves de KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::222222222222:root"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:111111111111:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
Instrucción de política de la usuaria de IAM Alice:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111111111111:key/KeyA"
}
]
}
```
------
#### Permitir a los usuarios de otra cuenta descifrar los registros de seguimiento de su bucket
**Example**
Esta política ilustra cómo otra cuenta puede utilizar su clave para leer archivos de registro cifrados de su bucket de S3.
**Example Escenario**
+ Su clave de KMS y el bucket de S3 se encuentran en la cuenta `111111111111`.
+ El usuario que lee registros del bucket está en la cuenta `222222222222`.
Para habilitar este escenario, habilita los permisos de descifrado para la función de IAM **CloudTrailReadRole**en su cuenta y, a continuación, otorga permiso a la otra cuenta para que asuma esa función.
Instrucción de la política de claves de KMS:
```
{
"Sid": "EnableEncryptedCloudTrailLogReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:role/CloudTrailReadRole"
]
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"Null": {
"kms:EncryptionContext:aws:cloudtrail:arn": "false"
}
}
}
```
**CloudTrailReadRole**declaración de política de la entidad fiduciaria:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CloudTrail access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::222222222222:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obtener información sobre cómo editar una política de claves de KMS para usarla con CloudTrail ella, consulte [Edición de una política clave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) en la *Guía para AWS Key Management Service desarrolladores*.
## Otorgar permisos de descifrado para los almacenes de datos de eventos
La política de descifrado de una clave de KMS que se utiliza con un banco de datos de eventos de CloudTrail Lake es similar a la siguiente. El usuario o el rol ARNs especificados como valores `Principal` necesitan permisos de descifrado para crear o actualizar los bancos de datos de eventos, ejecutar consultas u obtener resultados de consultas.
```
{
"Sid": "EnableUserKeyPermissionsEds"
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/username"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
El siguiente es un ejemplo de política que se requiere para permitir que el director del CloudTrail servicio descifre un banco de datos de eventos.
```
{
"Sid": "AllowCloudTrailDecryptEds",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
## Habilite esta opción CloudTrail para describir las propiedades clave de KMS
CloudTrail requiere la capacidad de describir las propiedades de la clave KMS. Para habilitar esta funcionalidad, agregue la siguiente instrucción necesaria tal cual está a su política de claves de KMS. Esta declaración no concede CloudTrail ningún permiso aparte de los demás permisos que especifique.
Como práctica recomendada de seguridad, agregue una clave de condición `aws:SourceArn` a la política de claves de KMS. La clave de condición global de IAM `aws:SourceArn` ayuda a garantizar que se CloudTrail utilice la clave KMS solo para una o varias rutas específicas.
```
{
"Sid": "AllowCloudTrailAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:account-id:trail/trail-name"
}
}
}
```
Para obtener más información sobre cómo editar políticas de claves de KMS, consulte [Edición de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing) en la * Guía para desarrolladores de AWS Key Management Service *.
# Política de claves de KMS predeterminada creada en la consola CloudTrail
Si crea una AWS KMS key en la CloudTrail consola, se crean automáticamente las siguientes políticas. La política concede estos permisos:
+ Permite permisos Cuenta de AWS (root) para la clave KMS.
+ Permite cifrar CloudTrail los archivos de registro y los archivos de resumen de la clave KMS y describir la clave KMS.
+ Permite que todos los usuarios de las cuentas especificadas descifren archivos de registro y de resumen.
+ Permite que todos los usuarios de la cuenta especificada creen un alias de KMS para la clave de KMS.
+ Habilita el descifrado de registros entre cuentas para el ID de la cuenta que creó el registro de seguimiento.
**Topics**
+ [
## Política de clave de KMS predeterminada para registros de seguimiento
](#default-kms-key-policy-trail)
+ [
## Política de claves de KMS predeterminada para los almacenes de datos de eventos de CloudTrail Lake
](#default-kms-key-policy-eds)
## Política de clave de KMS predeterminada para registros de seguimiento
La siguiente es la política predeterminada que se crea para una AWS KMS key que se usa con una ruta.
**nota**
La política incluye una instrucción por la que se permite descifrar archivos de registro y de resumen entre cuentas con la clave de KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111111111111:root",
"arn:aws:iam::111111111111:user/username"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow CloudTrail to encrypt logs",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:trail/trail-name"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Allow CloudTrail to describe key",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow principals in the account to decrypt log files",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
},
{
"Sid": "Enable cross account log decryption",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111111111111"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:111111111111:trail/*"
}
}
}
]
}
```
------
## Política de claves de KMS predeterminada para los almacenes de datos de eventos de CloudTrail Lake
La siguiente es la política predeterminada que se crea para una AWS KMS key que se usa con un almacén de datos de eventos en CloudTrail Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy created by CloudTrail",
"Statement": [
{
"Sid": "The key created by CloudTrail to encrypt event data stores. Created ${new Date().toUTCString()}",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM user permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Enable user to have permissions",
"Effect": "Allow",
"Principal": {
"AWS" : "arn:aws:sts::111111111111:assumed-role/example-role-name"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------