Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail
AWS KMS ist in einen Dienst integriert AWS CloudTrail, der alle Aufrufe AWS KMS von Benutzern, Rollen und anderen AWS Diensten aufzeichnet. CloudTrail erfasst alle API-Aufrufe AWS KMS als Ereignisse, einschließlich Aufrufe von der AWS KMS Konsole AWS KMS APIs, AWS CloudFormation Vorlagen, AWS Command Line Interface (AWS CLI) und AWS -Tools für PowerShell.
CloudTrail protokolliert alle AWS KMS Operationen, einschließlich schreibgeschützter Operationen wie ListAliasesund GetKeyRotationStatus, Operationen zur Verwaltung von KMS-Schlüsseln wie CreateKeyund und PutKeyPolicykryptografischer Operationen wie GenerateDataKeyund Decrypt. Außerdem werden interne Vorgänge protokolliert, die für AWS KMS Sie erforderlich sind, z. B., DeleteExpiredKeyMaterial, und DeleteKey. SynchronizeMultiRegionKeyRotateKey
CloudTrail protokolliert alle erfolgreichen Operationen und in einigen Szenarien fehlgeschlagene Aufrufversuche, z. B. wenn dem Anrufer der Zugriff auf eine Ressource verweigert wird. Kontoübergreifende Vorgänge auf KMS-Schlüssel in anderen Konten werden sowohl im Konto des Anrufers als auch im Konto des KMS-Schlüsselbesitzers protokolliert. Kontoübergreifende AWS KMS Anfragen, die abgelehnt werden, weil der Zugriff verweigert wurde, werden jedoch nur im Konto des Anrufers protokolliert.
Aus Sicherheitsgründen werden einige Felder in den AWS KMS Protokolleinträgen weggelassen, z. B. der Plaintext Parameter einer Verschlüsselungsanforderung und die Antwort auf GetKeyPolicyoder andere kryptografische Operationen. Um die Suche nach CloudTrail Protokolleinträgen für bestimmte KMS-Schlüssel zu vereinfachen, AWS KMS fügt der Schlüssel-ARN des betroffenen KMS-Schlüssels dem responseElements Feld in den Protokolleinträgen für einige AWS KMS Schlüsselverwaltungsvorgänge hinzu, auch wenn der API-Vorgang den Schlüssel-ARN nicht zurückgibt.
Standardmäßig werden zwar alle AWS KMS Aktionen als CloudTrail Ereignisse protokolliert, Sie können jedoch AWS KMS Aktionen von einem CloudTrail Trail ausschließen. Details hierzu finden Sie unter AWS KMS Ereignisse aus einer Spur ausschließen.
Weitere Informationen:
-
CloudTrail Protokollbeispiele für AWS KMS Operationen in einer AWS Nitro-Enklave finden Sie unter. Überwachung von Anfragen für Nitro-Enklaven
Themen
Suchen nach AWS KMS Protokolleinträgen in CloudTrail
Verwenden Sie die CloudTrail Konsole oder den CloudTrail LookupEventsVorgang, um nach CloudTrail Protokolleinträgen zu suchen. CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle.
Füllt die folgenden AWS KMS Protokolleintragsfelder aus CloudTrail, AWS KMS um Ihnen die Suche nach CloudTrail Protokolleinträgen zu erleichtern.
Anmerkung
Füllt ab Dezember 2022 die Attribute Ressourcentyp und Ressourcenname in allen Verwaltungsvorgängen aus, die einen bestimmten KMS-Schlüssel ändern. AWS KMS Diese Attributwerte können in älteren CloudTrail Einträgen für die folgenden Operationen Null sein: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrantUpdateAlias, und UpdatePrimaryRegion.
| Attribut | Wert | Protokolleinträge |
|---|---|---|
Ereignisquelle (EventSource) |
kms.amazonaws.com |
Alle Vorgänge. |
Ressourcentyp (ResourceType) |
AWS::KMS::Key |
Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys. |
Ressourcenname (ResourceName) |
Schlüssel-ARN (oder Schlüssel-ID und Schlüssel-ARN) | Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys. |
Um Ihnen das Auffinden von Protokolleinträgen für Verwaltungsvorgänge mit bestimmten KMS-Schlüsseln zu erleichtern, AWS KMS
zeichnet es den Schlüssel-ARN des betroffenen KMS-Schlüssels im responseElements.keyId Element des Protokolleintrags auf, auch wenn der AWS KMS API-Vorgang den Schlüssel-ARN nicht zurückgibt.
Beispielsweise gibt ein erfolgreicher Aufruf des DisableKeyVorgangs keine Werte in der Antwort zurück, aber statt eines Nullwerts enthält der responseElements.keyId Wert im DisableKey Protokolleintrag den Schlüssel ARN des deaktivierten KMS-Schlüssels.
Diese Funktion wurde im Dezember 2022 hinzugefügt und wirkt sich auf die folgenden CloudTrail Protokolleinträge aus: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias, und UpdatePrimaryRegion.
AWS KMS Ereignisse aus einer Spur ausschließen
Um die Nutzung und Verwaltung ihrer AWS KMS Ressourcen aufzuzeichnen, verlassen sich die meisten AWS KMS Benutzer auf die Ereignisse in einem CloudTrail Trail. Der Trail kann eine wertvolle Datenquelle für die Überwachung kritischer Ereignisse sein, wie z. B. das Erstellen, Deaktivieren und Löschen AWS KMS keys, Ändern von Schlüsselrichtlinien und die Verwendung Ihrer KMS-Schlüssel durch AWS Dienste in Ihrem Namen. In einigen Fällen können Ihnen die Metadaten in einem CloudTrail Protokolleintrag, z. B. der Verschlüsselungskontext bei einem Verschlüsselungsvorgang, dabei helfen, Fehler zu vermeiden oder zu beheben.
Da jedoch eine große Anzahl von Ereignissen generiert werden AWS KMS kann, AWS CloudTrail können Sie AWS KMS Ereignisse aus einer Spur ausschließen. Diese Einstellung pro Trail schließt alle AWS KMS Ereignisse aus. Sie können bestimmte AWS KMS Ereignisse nicht ausschließen.
Warnung
Durch das Ausschließen von AWS KMS Ereignissen aus einem CloudTrail Protokoll können Aktionen, die Ihre KMS-Schlüssel verwenden, verschleiert werden. Seien Sie vorsichtig, wenn Sie Prinzipalen die cloudtrail:PutEventSelectors-Berechtigung erteilen, die zum Ausführen dieser Operation erforderlich ist.
So schließen Sie AWS KMS Ereignisse aus einem Trail aus:
-
Verwenden Sie in der CloudTrail Konsole die Einstellung Ereignisse des Schlüsselverwaltungsdienstes protokollieren, wenn Sie einen Trail erstellen oder einen Trail aktualisieren. Anweisungen finden Sie AWS Management Console im AWS CloudTrail Benutzerhandbuch unter Protokollieren von Management-Ereignissen mit dem.
-
Verwenden Sie in der CloudTrail API den PutEventSelectorsVorgang. Fügen Sie das Attribut
ExcludeManagementEventSourcesmit dem Wertkms.amazonaws.com.rproxy.goskope.comzu Ihren Ereignisselektoren hinzu. Ein Beispiel finden Sie im AWS CloudTrail Benutzerhandbuch unter Beispiel: Ein Trail, der keine AWS Key Management Service Ereignisse protokolliert.
Sie können diesen Ausschluss jederzeit deaktivieren, indem Sie die Konsoleneinstellung oder die Ereignisselektoren für einen Trail ändern. Der Trail beginnt dann mit der Aufzeichnung von AWS KMS Ereignissen. AWS KMS Ereignisse, die während der Gültigkeit des Ausschlusses eingetreten sind, können jedoch nicht wiederhergestellt werden.
Wenn Sie AWS KMS Ereignisse mithilfe der Konsole oder der API ausschließen, wird der daraus resultierende CloudTrail PutEventSelectors API-Vorgang auch in Ihren CloudTrail Protokollen protokolliert. Wenn AWS KMS
Ereignisse nicht in Ihren CloudTrail Protokollen erscheinen, suchen Sie nach einem PutEventSelectors Ereignis, bei dem das ExcludeManagementEventSources Attribut auf gesetzt istkms.amazonaws.com.
