Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS KMS APIAnrufe protokollieren mit AWS CloudTrail
AWS KMS ist in einen Dienst integriert AWS CloudTrail, der alle Aufrufe AWS KMS von Benutzern, Rollen und anderen AWS Diensten aufzeichnet. CloudTrail erfasst alle API Aufrufe AWS KMS als Ereignisse, einschließlich Aufrufe von der AWS KMS Konsole AWS KMS APIs, AWS CloudFormation Vorlagen, dem AWS Command Line Interface (AWS CLI) und AWS Tools for PowerShell.
CloudTrail protokolliert alle AWS KMS Operationen, einschließlich schreibgeschützter Operationen wie ListAliasesund, Operationen zur KMS Schlüsselverwaltung GetKeyRotationStatus, wie CreateKeyund PutKeyPolicy, und kryptografischer Operationen wie GenerateDataKeyund Decrypt. Es protokolliert auch interne Operationen, die Sie AWS KMS aufrufen, wie,, DeleteExpiredKeyMaterialund DeleteKey. SynchronizeMultiRegionKeyRotateKey
CloudTrail protokolliert alle erfolgreichen Operationen und in einigen Szenarien fehlgeschlagene Aufrufversuche, z. B. wenn dem Anrufer der Zugriff auf eine Ressource verweigert wird. Kontoübergreifende Operationen mit KMS Schlüsseln werden sowohl im Anruferkonto als auch im Konto des KMS Schlüsselbesitzers protokolliert. Kontoübergreifende AWS KMS Anfragen, die abgelehnt werden, weil der Zugriff verweigert wurde, werden jedoch nur im Konto des Anrufers protokolliert.
Aus Sicherheitsgründen werden einige Felder in den AWS KMS Protokolleinträgen weggelassen, z. B. der Plaintext Parameter einer Verschlüsselungsanforderung und die Antwort auf GetKeyPolicyoder andere kryptografische Operationen. Um die Suche nach CloudTrail Protokolleinträgen für bestimmte KMS Schlüssel zu vereinfachen, AWS KMS fügt er bei einigen Schlüsselverwaltungsvorgängen den KMS Schlüssel ARN des betroffenen Schlüssels dem responseElements Feld in den Protokolleinträgen hinzu, auch wenn der API Vorgang den AWS KMS Schlüssel nicht zurückgibt. ARN
Standardmäßig werden zwar alle AWS KMS Aktionen als CloudTrail Ereignisse protokolliert, Sie können jedoch AWS KMS Aktionen von einem CloudTrail Trail ausschließen. Details hierzu finden Sie unter AWS KMS Ereignisse aus einer Spur ausschließen.
Weitere Informationen:
-
CloudTrail Protokollbeispiele für AWS KMS Operationen in einer AWS Nitro-Enklave finden Sie unter. Überwachung von Anfragen für Nitro-Enklaven
Themen
Suchen nach AWS KMS Protokolleinträgen in CloudTrail
Verwenden Sie die CloudTrail Konsole oder den CloudTrail LookupEventsVorgang, um nach CloudTrail Protokolleinträgen zu suchen. CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle.
Füllt die folgenden AWS KMS Protokolleintragsfelder aus CloudTrail, AWS KMS um Ihnen die Suche nach CloudTrail Protokolleinträgen zu erleichtern.
Anmerkung
Füllt ab Dezember 2022 die Attribute Ressourcentyp und Ressourcenname bei allen Verwaltungsvorgängen aus, die einen bestimmten KMS Schlüssel ändern. AWS KMS Diese Attributwerte können in älteren CloudTrail Einträgen für die folgenden Operationen Null sein: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrantUpdateAlias, und UpdatePrimaryRegion.
| Attribut | Wert | Protokolleinträge |
|---|---|---|
Ereignisquelle (EventSource) |
kms.amazonaws.com |
Alle Vorgänge. |
Ressourcentyp (ResourceType) |
AWS::KMS::Key |
Verwaltungsoperationen, die einen bestimmten KMS Schlüssel ändern, z. B. CreateKey undEnableKey, aber nichtListKeys. |
Ressourcenname (ResourceName) |
Schlüssel ARN (oder Schlüssel-ID und SchlüsselARN) | Verwaltungsoperationen, die einen bestimmten KMS Schlüssel ändern, z. B. CreateKey undEnableKey, aber nichtListKeys. |
Um Ihnen das Auffinden von Protokolleinträgen für Verwaltungsvorgänge mit bestimmten KMS Schlüsseln zu erleichtern, AWS KMS
zeichnet es den KMS Schlüssel ARN des betroffenen Schlüssels im responseElements.keyId Element des Protokolleintrags auf, auch wenn der AWS KMS API Vorgang den Schlüssel nicht zurückgibtARN.
Beispielsweise gibt ein erfolgreicher Aufruf des DisableKeyVorgangs keine Werte in der Antwort zurück, aber statt eines Nullwerts enthält der responseElements.keyId Wert im DisableKey Protokolleintrag den Schlüssel ARN des deaktivierten KMS Schlüssels.
Diese Funktion wurde im Dezember 2022 hinzugefügt und wirkt sich auf die folgenden CloudTrail Protokolleinträge aus: CreateAliasCreateGrantDeleteAliasDeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias, und UpdatePrimaryRegion.
AWS KMS Ereignisse aus einer Spur ausschließen
Um die Nutzung und Verwaltung ihrer AWS KMS Ressourcen aufzuzeichnen, verlassen sich die meisten AWS KMS Benutzer auf die Ereignisse in einem CloudTrail Trail. Der Trail kann eine wertvolle Datenquelle für die Prüfung kritischer Ereignisse sein, wie z. B. das Erstellen, Deaktivieren und Löschen AWS KMS keys, Ändern von Schlüsselrichtlinien und die Verwendung Ihrer KMS Schlüssel durch AWS Dienste in Ihrem Namen. In einigen Fällen können Ihnen die Metadaten in einem CloudTrail Protokolleintrag, z. B. der Verschlüsselungskontext bei einem Verschlüsselungsvorgang, dabei helfen, Fehler zu vermeiden oder zu beheben.
Da jedoch eine große Anzahl von Ereignissen generiert werden AWS KMS kann, AWS CloudTrail können Sie AWS KMS Ereignisse aus einer Spur ausschließen. Diese Einstellung pro Trail schließt alle AWS KMS Ereignisse aus. Sie können bestimmte AWS KMS Ereignisse nicht ausschließen.
Warnung
Wenn Sie AWS KMS Ereignisse aus einem CloudTrail Protokoll ausschließen, können Aktionen, die Ihre Schlüssel verwenden, verdeckt werden. KMS Seien Sie vorsichtig, wenn Sie Prinzipalen die cloudtrail:PutEventSelectors-Berechtigung erteilen, die zum Ausführen dieser Operation erforderlich ist.
Um AWS KMS Ereignisse aus einem Trail auszuschließen:
-
Verwenden Sie in der CloudTrail Konsole die Einstellung Ereignisse des Schlüsselverwaltungsdienstes protokollieren, wenn Sie einen Trail erstellen oder einen Trail aktualisieren. Anweisungen finden Sie AWS Management Console im AWS CloudTrail Benutzerhandbuch unter Protokollieren von Management-Ereignissen mit dem.
-
Verwenden Sie in der CloudTrail API die PutEventSelectorsOperation. Fügen Sie das Attribut
ExcludeManagementEventSourcesmit dem Wertkms.amazonaws.com.rproxy.goskope.comzu Ihren Ereignisselektoren hinzu. Ein Beispiel finden Sie im AWS CloudTrail Benutzerhandbuch unter Beispiel: Ein Trail, der keine AWS Key Management Service Ereignisse protokolliert.
Sie können diesen Ausschluss jederzeit deaktivieren, indem Sie die Konsoleneinstellung oder die Ereignisselektoren für einen Trail ändern. Der Trail beginnt dann mit der Aufzeichnung von AWS KMS Ereignissen. AWS KMS Ereignisse, die während der Gültigkeit des Ausschlusses eingetreten sind, können jedoch nicht wiederhergestellt werden.
Wenn Sie AWS KMS Ereignisse mithilfe der Konsole oder ausschließenAPI, wird der daraus resultierende CloudTrail PutEventSelectors API Vorgang ebenfalls in Ihren CloudTrail Protokollen protokolliert. Wenn AWS KMS
Ereignisse nicht in Ihren CloudTrail Protokollen erscheinen, suchen Sie nach einem PutEventSelectors Ereignis, bei dem das ExcludeManagementEventSources Attribut auf gesetzt istkms.amazonaws.com.
