Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Diese Beispiele zeigen AWS CloudTrail Protokolleinträge für den Decrypt-Vorgang.
Der CloudTrail Protokolleintrag für einen Decrypt Vorgang enthält immer dasencryptionAlgorithm, requestParameters auch wenn der Verschlüsselungsalgorithmus in der Anforderung nicht angegeben wurde. Der Chiffretext in der Anforderung und der Klartext in der Antwort werden weggelassen.
Themen
Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
Fehler bei der Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
Mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher entschlüsseln
Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
Fehler bei der Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
Im Folgenden finden Sie ein Beispiel für einen CloudTrail Protokolleintrag für einen Decrypt Vorgang mit einem standardmäßigen symmetrischen Verschlüsselungsschlüssel.
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T22:58:24Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
} Fehler bei der Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
Der folgende CloudTrail Beispielprotokolleintrag zeichnet einen fehlgeschlagenen Decrypt Vorgang mit einem KMS-Schlüssel für die symmetrische Standardverschlüsselung auf. Die Ausnahme (errorCode) und die Fehlermeldung (errorMessage) sind enthalten und helfen Ihnen, den Fehler zu beheben.
In diesem Fall war der in der Decrypt-Anfrage angegebene symmetrische KMS-Verschlüsselungsschlüssel nicht der symmetrische KMS-Verschlüsselungsschlüssel, der zum Verschlüsseln der Daten verwendet wurde.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
} Mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher entschlüsseln
Der folgende CloudTrail Beispielprotokolleintrag zeichnet einen Decrypt Vorgang mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher auf. Alle Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher enthalten ein additionalEventData Feld mit dem customKeyStoreId undbackingKeyId. Der im backingKeyId Feld zurückgegebene Wert ist das id CloudHSM-Schlüsselattribut. Die additionalEventData ist nicht in der Anfrage angegeben.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
Der folgende CloudTrail Beispielprotokolleintrag zeichnet einen Decrypt Vorgang mit einem KMS-Schlüssel in einem externen Schlüsselspeicher auf. Zusätzlich zur customKeyStoreId enthält das additionalEventData-Feld die externe Schlüssel-ID (XksKeyId). Die additionalEventData ist nicht in der Anfrage angegeben.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}Fehler bei der Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
Der folgende CloudTrail Beispielprotokolleintrag zeichnet eine fehlgeschlagene Anforderung für einen Decrypt Vorgang mit einem KMS-Schlüssel in einem externen Schlüsselspeicher auf. CloudWatch protokolliert zusätzlich zu erfolgreichen Anfragen auch fehlgeschlagene Anfragen. Bei der Aufzeichnung eines Fehlers enthält der CloudTrail Protokolleintrag die Ausnahme (errorCode) und die zugehörige Fehlermeldung (errorMessage).
Wenn die fehlgeschlagene Anforderung Ihren externen Schlüsselspeicher-Proxy erreicht hat, wie in diesem Beispiel, können Sie den requestId-Wert verwenden, um die fehlgeschlagene Anforderung einer entsprechenden Anfrage zuzuordnen, die Ihr externer Schlüsselspeicher-Proxy protokolliert, sofern Ihr Proxy sie bereitstellt.
Hilfe zu Decrypt-Anfragen in externen Schlüsselspeichern finden Sie unter Entschlüsselungsfehler.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}