Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachen AWS KMS keys
Die Überwachung ist ein wichtiger Bestandteil, um die Verfügbarkeit, den Zustand und die Nutzung Ihres AWS KMS keys Ins zu verstehen AWS KMS und die Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS Lösungen aufrechtzuerhalten. Durch das Sammeln von Überwachungsdaten aus allen Teilen Ihrer AWS -Lösung können Sie einen Multipoint-Fehler debuggen, falls ein solcher auftritt. Bevor Sie mit der Überwachung Ihrer KMS-Schlüssel beginnen, erstellen Sie einen Überwachungsplan, der Antworten auf folgende Fragen enthält:
+ Was sind Ihre Ziele bei der Überwachung?
+ Welche Ressourcen werden überwacht?
+ Wie oft werden diese Ressourcen überwacht?
+ Welche [Überwachungswerkzeugte](#monitoring-tools) verwenden Sie?
+ Wer soll die Überwachungsaufgaben ausführen?
+ Wer sollte benachrichtigt werden, wenn etwas passiert?
Als nächsten Schritt überwachen Sie Ihre KMS-Schlüssel, um eine Basis für die normale AWS KMS -Nutzung und Erwartungen in Ihrer Umgebung zu erstellen. Während Sie Ihre KMS-Schlüssel überwachen, speichern Sie historische Überwachungsdaten, damit Sie sie mit aktuellen Daten vergleichen können, identifizieren Sie normale Muster und Anomalien und erarbeiten Sie Methoden, um Probleme zu lösen.
Sie können beispielsweise AWS KMS API-Aktivitäten und Ereignisse überwachen, die sich auf Ihre KMS-Schlüssel auswirken. Wenn Daten Grenzwerte über- oder unterschreiten, müssen Sie möglicherweise untersuchen oder Korrekturmaßnahmen ergreifen.
Um eine Grundlinie für normale Muster zu erstellen, überwachen Sie folgende Punkte:
+ AWS KMS API-Aktivität für *Datenebenenoperationen*. Dabei handelt es sich um [kryptografische Operationen](kms-cryptography.md#cryptographic-operations), die einen KMS-Schlüssel verwenden, z. B. [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) und [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html). [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ AWS KMS API-Aktivität für Operationen auf der *Kontrollebene*, die für Sie wichtig sind. Bei diesen Vorgängen wird ein KMS-Schlüssel verwaltet, und Sie sollten möglicherweise diejenigen Vorgänge überwachen, die die Verfügbarkeit eines KMS-Schlüssels (wie [ScheduleKeyDeletion[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html), [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html), [EnableKey[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html), und [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)) oder die Zugriffskontrolle eines KMS-Schlüssels ändern (z. B. [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)und [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)).
+ Andere AWS KMS Messwerte (wie die verbleibende Zeit, bis Ihr [importiertes Schlüsselmaterial](importing-keys.md) abläuft) und Ereignisse (wie das Ablaufen von importiertem Schlüsselmaterial oder das Löschen oder die Schlüsselrotation eines KMS-Schlüssels).
## Tools zur Überwachung
AWS bietet verschiedene Tools, mit denen Sie Ihre KMS-Schlüssel überwachen können. Sie können einige dieser Tools so konfigurieren, dass diese die Überwachung für Sie übernehmen, während bei anderen Tools ein manuelles Eingreifen nötig ist. Wir empfehlen, dass Sie die Überwachungsaufgaben möglichst automatisieren.
### Automatisierte Überwachungstools
Sie können die folgenden automatisierten Überwachungstools verwenden, um Ihre KMS-Schlüssel zu verfolgen und zu berichten, wenn sich etwas geändert hat.
+ **AWS CloudTrail Protokollüberwachung** — Teilen Sie Protokolldateien zwischen Konten, überwachen CloudTrail Sie Protokolldateien in Echtzeit, indem Sie sie an CloudWatch Logs senden, schreiben Sie Protokollverarbeitungsanwendungen mit der [CloudTrail Processing Library](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) und überprüfen Sie, ob sich Ihre Protokolldateien nach der Lieferung von nicht geändert haben CloudTrail. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit CloudTrail Protokolldateien](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html).
+ **Amazon CloudWatch Alarms** — Überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum und führen Sie eine oder mehrere Aktionen aus, die auf dem Wert der Metrik im Verhältnis zu einem bestimmten Schwellenwert über mehrere Zeiträume basieren. Die Aktion ist eine Benachrichtigung, die an ein Amazon Simple Notification Service (Amazon SNS) -Thema oder eine Amazon EC2 Auto Scaling Scaling-Richtlinie gesendet wird. CloudWatch Alarme lösen keine Aktionen aus, nur weil sie sich in einem bestimmten Status befinden. Der Status muss sich geändert haben und für eine bestimmte Anzahl von Zeiträumen beibehalten worden sein. Weitere Informationen finden Sie unter [Überwachen Sie KMS-Schlüssel mit Amazon CloudWatch](monitoring-cloudwatch.md).
+ **Amazon EventBridge** — Ordnen Sie Ereignisse zu und leiten Sie sie an eine oder mehrere Zielfunktionen oder -streams weiter, um Statusinformationen zu erfassen und, falls erforderlich, Änderungen vorzunehmen oder Korrekturmaßnahmen zu ergreifen. Weitere Informationen finden Sie unter [Überwachen Sie KMS-Schlüssel mit Amazon EventBridge](kms-events.md) und im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ **Amazon CloudWatch Logs** — Überwachen, speichern und greifen Sie auf Ihre Protokolldateien aus AWS CloudTrail oder anderen Quellen zu. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
### Manuelle Überwachungstools
Ein weiterer wichtiger Teil der Überwachung von KMS-Schlüsseln ist die manuelle Überwachung der Elemente, die von den CloudWatch Alarmen und Ereignissen nicht abgedeckt sind. Die Dashboards AWS KMS CloudWatch AWS Trusted Advisor,, und andere AWS Dashboards bieten einen at-a-glance Überblick über den Zustand Ihrer AWS Umgebung.
Sie können die Seiten **Von AWS verwaltete Schlüssel** und **Customer managed keys** (kundenverwaltete Schlüssel) der [AWS KMS -Konsole](https://console.aws.amazon.com/kms) [anpassen](viewing-console-customize.md#console-customize-tables), um folgende Informationen zu jedem KMS-Schlüssel anzuzeigen:
+ Schlüssel-ID
+ Status
+ Erstellungsdatum
+ Ablaufdatum (für KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md))
+ Ursprung
+ Benutzerdefinierte Schlüsselspeicher-ID (für KMS-Schlüssel in [benutzerdefinierten Schlüsselspeichern](key-store-overview.md#custom-key-store-overview))
Das [CloudWatch -Konsolen-Dashboard](https://console.aws.amazon.com/cloudwatch/home) zeigt Folgendes an:
+ Aktuelle Alarme und Status
+ Diagramme mit Alarmen und Ressourcen
+ Servicestatus
Darüber hinaus können CloudWatch Sie Folgendes verwenden:
+ Erstellen [angepasster Dashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) zur Überwachung der gewünschten Services.
+ Aufzeichnen von Metrikdaten, um Probleme zu beheben und Trends zu erkennen
+ Suchen und durchsuchen Sie alle Ihre AWS Ressourcenmetriken
+ Erstellen und Bearbeiten von Alarmen, um über Probleme benachrichtigt zu werden
AWS Trusted Advisor kann Ihnen helfen, Ihre AWS Ressourcen zu überwachen, um Leistung, Zuverlässigkeit, Sicherheit und Wirtschaftlichkeit zu verbessern. Vier Trusted Advisor Checks stehen allen Benutzern zur Verfügung; mehr als 50 Checks stehen Benutzern mit einem Business- oder Enterprise-Supportplan zur Verfügung. Weitere Informationen finden Sie unter [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/).
# AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail
AWS KMS ist in einen Dienst integriert [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/), der alle Aufrufe AWS KMS von Benutzern, Rollen und anderen AWS Diensten aufzeichnet. CloudTrail erfasst alle API-Aufrufe AWS KMS als Ereignisse, einschließlich Aufrufe von der AWS KMS Konsole AWS KMS APIs, CloudFormation Vorlagen, AWS Command Line Interface (AWS CLI) und AWS -Tools für PowerShell.
CloudTrail [protokolliert alle AWS KMS Operationen, einschließlich schreibgeschützter Operationen wie [ListAliases](ct-listaliases.md)und [GetKeyRotationStatus](ct-getkeyrotationstatus.md), Operationen zur Verwaltung von KMS-Schlüsseln wie [CreateKey](ct-createkey.md)und und [PutKeyPolicy](ct-put-key-policy.md)[kryptografischer Operationen](kms-cryptography.md#cryptographic-operations) wie [GenerateDataKey](ct-generatedatakey.md)und Decrypt.](ct-decrypt.md) Außerdem werden interne Vorgänge protokolliert, die für AWS KMS Sie erforderlich sind, z. B., [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md), und [DeleteKey](ct-delete-key.md). [SynchronizeMultiRegionKey[RotateKey](ct-rotatekey.md)](ct-synchronize-multi-region-key.md)
CloudTrail protokolliert alle erfolgreichen Operationen und in einigen Szenarien fehlgeschlagene Aufrufversuche, z. B. wenn dem Anrufer der Zugriff auf eine Ressource verweigert wird. [Kontoübergreifende Vorgänge auf KMS-Schlüssel](key-policy-modifying-external-accounts.md) in anderen Konten werden sowohl im Konto des Anrufers als auch im Konto des KMS-Schlüsselbesitzers protokolliert. Kontoübergreifende AWS KMS Anfragen, die abgelehnt werden, weil der Zugriff verweigert wurde, werden jedoch nur im Konto des Anrufers protokolliert.
Aus Sicherheitsgründen werden einige Felder in den AWS KMS Protokolleinträgen weggelassen, z. B. der `Plaintext` Parameter einer [Verschlüsselungsanforderung und die Antwort auf [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)oder andere kryptografische](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) Operationen. Um die Suche nach CloudTrail Protokolleinträgen für bestimmte KMS-Schlüssel zu vereinfachen, AWS KMS fügt der [Schlüssel-ARN](concepts.md#key-id-key-ARN) des betroffenen KMS-Schlüssels dem `responseElements` Feld in den Protokolleinträgen für einige AWS KMS Schlüsselverwaltungsvorgänge hinzu, auch wenn der API-Vorgang den Schlüssel-ARN nicht zurückgibt.
Standardmäßig werden zwar alle AWS KMS Aktionen als CloudTrail Ereignisse protokolliert, Sie können jedoch AWS KMS Aktionen von einem CloudTrail Trail ausschließen. Details hierzu finden Sie unter [AWS KMS Ereignisse aus einer Spur ausschließen](#filtering-kms-events).
**Weitere Informationen:**
+ CloudTrail Protokollbeispiele für AWS KMS Operationen auf bestätigten Plattformen finden Sie unter[Überwachen von bestätigten Anfragen](ct-attestation.md).
**Topics**
+ [
## Suchen nach AWS KMS Protokolleinträgen in CloudTrail
](#searching-kms-ct)
+ [
## AWS KMS Ereignisse aus einer Spur ausschließen
](#filtering-kms-events)
+ [
# Beispiele für AWS KMS Protokolleinträge
](understanding-kms-entries.md)
## Suchen nach AWS KMS Protokolleinträgen in CloudTrail
Verwenden Sie die [CloudTrail Konsole](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) oder den [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)Vorgang, um nach CloudTrail Protokolleinträgen zu suchen. CloudTrail unterstützt zahlreiche [Attributwerte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle.
Füllt die folgenden AWS KMS Protokolleintragsfelder aus CloudTrail, AWS KMS um Ihnen die Suche nach CloudTrail Protokolleinträgen zu erleichtern.
**Anmerkung**
Füllt ab Dezember 2022 die Attribute **Ressourcentyp und **Ressourcenname**** in allen Verwaltungsvorgängen aus, die einen bestimmten KMS-Schlüssel ändern. AWS KMS Diese Attributwerte können in älteren CloudTrail Einträgen für die folgenden Operationen Null sein: [CreateAlias[CreateGrant[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), [RevokeGrant[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html), und [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html).
| Attribut | Wert | Protokolleinträge |
| --- | --- | --- |
| Ereignisquelle (EventSource) | kms.amazonaws.com | Alle Vorgänge. |
| Ressourcentyp (ResourceType) | AWS::KMS::Key | Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys. |
| Ressourcenname (ResourceName) | Schlüssel-ARN (oder Schlüssel-ID und Schlüssel-ARN) | Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys. |
Um Ihnen das Auffinden von Protokolleinträgen für Verwaltungsvorgänge mit bestimmten KMS-Schlüsseln zu erleichtern, AWS KMS zeichnet es den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Element des Protokolleintrags auf, auch wenn der AWS KMS API-Vorgang den Schlüssel-ARN nicht zurückgibt.
Beispielsweise gibt ein erfolgreicher Aufruf des [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)Vorgangs keine Werte in der Antwort zurück, aber statt eines Nullwerts enthält der `responseElements.keyId` Wert im [DisableKey Protokolleintrag](ct-disablekey.md) den Schlüssel ARN des deaktivierten KMS-Schlüssels.
Diese Funktion wurde im Dezember 2022 hinzugefügt und wirkt sich auf die folgenden CloudTrail Protokolleinträge aus: [CreateAlias[CreateGrant[DeleteAlias](ct-deletealias.md)](ct-creategrant.md)](ct-createalias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource](ct-untagresource.md), [UpdateAlias](ct-updatealias.md), und [UpdatePrimaryRegion](ct-update-primary-region.md).
## AWS KMS Ereignisse aus einer Spur ausschließen
Um die Nutzung und Verwaltung ihrer AWS KMS Ressourcen aufzuzeichnen, verlassen sich die meisten AWS KMS Benutzer auf die Ereignisse in einem CloudTrail Trail. Der Trail kann eine wertvolle Datenquelle für die Überwachung kritischer Ereignisse sein, wie z. B. das Erstellen, Deaktivieren und Löschen AWS KMS keys, Ändern von Schlüsselrichtlinien und die Verwendung Ihrer KMS-Schlüssel durch AWS Dienste in Ihrem Namen. In einigen Fällen können Ihnen die Metadaten in einem CloudTrail Protokolleintrag, z. B. der [Verschlüsselungskontext](encrypt_context.md) bei einem Verschlüsselungsvorgang, dabei helfen, Fehler zu vermeiden oder zu beheben.
Da jedoch eine große Anzahl von Ereignissen generiert werden AWS KMS kann, AWS CloudTrail können Sie AWS KMS Ereignisse aus einer Spur ausschließen. Diese Einstellung pro Trail schließt alle AWS KMS Ereignisse aus. Sie können bestimmte AWS KMS Ereignisse nicht ausschließen.
**Warnung**
Durch das Ausschließen von AWS KMS Ereignissen aus einem CloudTrail Protokoll können Aktionen, die Ihre KMS-Schlüssel verwenden, verschleiert werden. Seien Sie vorsichtig, wenn Sie Prinzipalen die `cloudtrail:PutEventSelectors`-Berechtigung erteilen, die zum Ausführen dieser Operation erforderlich ist.
So schließen Sie AWS KMS Ereignisse aus einem Trail aus:
+ Verwenden Sie in der CloudTrail Konsole die Einstellung **Ereignisse des Schlüsselverwaltungsdienstes protokollieren**, wenn Sie [einen Trail erstellen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) oder [einen Trail aktualisieren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Anweisungen finden Sie AWS-Managementkonsole im AWS CloudTrail Benutzerhandbuch unter [Protokollieren von Management-Ereignissen mit dem](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html).
+ Verwenden Sie in der CloudTrail API den [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)Vorgang. Fügen Sie das Attribut `ExcludeManagementEventSources` mit dem Wert `kms.amazonaws.com` zu Ihren Ereignisselektoren hinzu. Ein Beispiel finden Sie im AWS CloudTrail Benutzerhandbuch unter [Beispiel: Ein Trail, der keine AWS Key Management Service Ereignisse protokolliert](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms).
Sie können diesen Ausschluss jederzeit deaktivieren, indem Sie die Konsoleneinstellung oder die Ereignisselektoren für einen Trail ändern. Der Trail beginnt dann mit der Aufzeichnung von AWS KMS Ereignissen. AWS KMS Ereignisse, die während der Gültigkeit des Ausschlusses eingetreten sind, können jedoch nicht wiederhergestellt werden.
Wenn Sie AWS KMS Ereignisse mithilfe der Konsole oder der API ausschließen, wird der daraus resultierende CloudTrail `PutEventSelectors` API-Vorgang auch in Ihren CloudTrail Protokollen protokolliert. Wenn AWS KMS Ereignisse nicht in Ihren CloudTrail Protokollen erscheinen, suchen Sie nach einem `PutEventSelectors` Ereignis, bei dem das `ExcludeManagementEventSources` Attribut auf gesetzt ist`kms.amazonaws.com`.
# Beispiele für AWS KMS Protokolleinträge
AWS KMS schreibt Einträge in Ihr CloudTrail Protokoll, wenn Sie einen AWS KMS Vorgang aufrufen und wenn ein AWS Dienst einen Vorgang in Ihrem Namen aufruft. AWS KMS schreibt auch einen Eintrag, wenn er eine Operation für Sie aufruft. Zum Beispiel schreibt es einen Eintrag, wenn es [einen KMS-Schlüssel löscht](ct-delete-key.md), den Sie zum Löschen vorgesehen haben.
Die folgenden Themen enthalten Beispiele für CloudTrail Protokolleinträge für AWS KMS Operationen.
Beispiele für CloudTrail Protokolleinträge von Anfragen von AWS KMS bestätigten Plattformen finden Sie unter[Überwachen von bestätigten Anfragen](ct-attestation.md).
**Topics**
+ [
# CancelKeyDeletion
](ct-cancel-key-deletion.md)
+ [
# ConnectCustomKeyStore
](ct-connect-keystore.md)
+ [
# CreateAlias
](ct-createalias.md)
+ [
# CreateCustomKeyStore
](ct-create-keystore.md)
+ [
# CreateGrant
](ct-creategrant.md)
+ [
# CreateKey
](ct-createkey.md)
+ [
# Decrypt
](ct-decrypt.md)
+ [
# DeleteAlias
](ct-deletealias.md)
+ [
# DeleteCustomKeyStore
](ct-delete-keystore.md)
+ [
# DeleteExpiredKeyMaterial
](ct-deleteexpiredkeymaterial.md)
+ [
# DeleteImportedKeyMaterial
](ct-deleteimportedkeymaterial.md)
+ [
# DeleteKey
](ct-delete-key.md)
+ [
# DescribeCustomKeyStores
](ct-describe-keystores.md)
+ [
# DescribeKey
](ct-describekey.md)
+ [
# DisableKey
](ct-disablekey.md)
+ [
# DisableKeyRotation
](ct-disable-key-rotation.md)
+ [
# DisconnectCustomKeyStore
](ct-disconnect-keystore.md)
+ [
# EnableKey
](ct-enablekey.md)
+ [
# EnableKeyRotation
](ct-enablekeyrotation.md)
+ [
# Encrypt
](ct-encrypt.md)
+ [
# GenerateDataKey
](ct-generatedatakey.md)
+ [
# GenerateDataKeyPair
](ct-generatedatakeypair.md)
+ [
# GenerateDataKeyPairWithoutPlaintext
](ct-generatedatakeypairwithoutplaintext.md)
+ [
# GenerateDataKeyWithoutPlaintext
](ct-generatedatakeyplaintext.md)
+ [
# GenerateMac
](ct-generatemac.md)
+ [
# GenerateRandom
](ct-generaterandom.md)
+ [
# GetKeyPolicy
](ct-getkeypolicy.md)
+ [
# GetKeyRotationStatus
](ct-getkeyrotationstatus.md)
+ [
# GetParametersForImport
](ct-getparametersforimport.md)
+ [
# ImportKeyMaterial
](ct-importkeymaterial.md)
+ [
# ListAliases
](ct-listaliases.md)
+ [
# ListGrants
](ct-listgrants.md)
+ [
# ListKeyRotations
](ct-listkeyrotations.md)
+ [
# PutKeyPolicy
](ct-put-key-policy.md)
+ [
# ReEncrypt
](ct-reencrypt.md)
+ [
# ReplicateKey
](ct-replicate-key.md)
+ [
# RetireGrant
](ct-retire-grant.md)
+ [
# RevokeGrant
](ct-revoke-grant.md)
+ [
# RotateKey
](ct-rotatekey.md)
+ [
# RotateKeyOnDemand
](ct-rotatekeyondemand.md)
+ [
# ScheduleKeyDeletion
](ct-schedule-key-deletion.md)
+ [
# Sign
](ct-sign.md)
+ [
# SynchronizeMultiRegionKey
](ct-synchronize-multi-region-key.md)
+ [
# TagResource
](ct-tagresource.md)
+ [
# UntagResource
](ct-untagresource.md)
+ [
# UpdateAlias
](ct-updatealias.md)
+ [
# UpdateCustomKeyStore
](ct-update-keystore.md)
+ [
# UpdateKeyDescription
](ct-update-key-description.md)
+ [
# UpdatePrimaryRegion
](ct-update-primary-region.md)
+ [
# VerifyMac
](ct-verifymac.md)
+ [
# Verify
](ct-verify.md)
+ [
# EC2 Amazon-Beispiel eins
](ct-ec2one.md)
+ [
# EC2 Amazon-Beispiel zwei
](ct-ec2two.md)
# CancelKeyDeletion
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf der [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)Operation generiert wurde. Hinweise zum Löschen finden AWS KMS keys Sie unter[Lösche eine AWS KMS key](deleting-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T21:53:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CancelKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "e3452e68-d4b0-4ec7-a768-7ae96c23764f",
"eventID": "d818bf03-6655-48e9-8b26-f279a07075fd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ConnectCustomKeyStore
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf der [https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Operation generiert wurde. Hinweise zum Verbinden von benutzerdefinierten Schlüsselspeichern finden Sie unter [Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen](connect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ConnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateAlias
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)Vorgang. Das `resources`-Element enthält Felder für den Alias und KMS-Schlüsselressourcen. Hinweise zum Erstellen von Aliasen in finden Sie AWS KMS unter[Aliase erstellen](alias-create.md).
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-14T23:08:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/ExampleAlias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "caec1e0c-ce03-419e-bdab-6ab1f7c57c01",
"eventID": "2dd6e784-8286-46a6-befd-d64e5a02fb28",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# CreateCustomKeyStore
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf des [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgangs in einem AWS CloudHSM Schlüsselspeicher generiert wurde. Hinweise zum Erstellen von benutzerdefinierten Schlüsselspeichern finden Sie unter [Erstellen Sie einen AWS CloudHSM Schlüsselspeicher](create-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateGrant
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Vorgang. Informationen zum Erstellen von Zuschüssen in AWS KMS finden Sie unter[Zuschüsse in AWS KMS](grants.md).
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:53:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"constraints": {
"encryptionContextSubset": {
"ContextKey1": "Value1"
}
},
"operations": ["Encrypt",
"RetireGrant"],
"granteePrincipal": "EX_PRINCIPAL_ID"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# CreateKey
Diese Beispiele zeigen AWS CloudTrail Protokolleinträge für den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang.
Ein `CreateKey` Protokolleintrag kann aus einer `CreateKey` Anfrage oder dem `CreateKey` Vorgang für eine [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)Anfrage resultieren.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang, der einen [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks) erstellt. Weitere Informationen zum Erstellen und Verwalten von KMS-Schlüsseln finden Sie unter Erste Schritte.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-10T22:38:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"description": "",
"origin": "EXTERNAL",
"bypassPolicyLockoutSafetyCheck": false,
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"keyUsage": "ENCRYPT_DECRYPT"
},
"responseElements": {
"keyMetadata": {
"AWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Aug 10, 2022, 10:38:27 PM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "PendingImport",
"origin": "EXTERNAL",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"requestID": "1aef6713-0223-4ff7-9a6d-781360521930",
"eventID": "36327b37-f4f6-40a9-92ab-48064ec905a2",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Das folgende Beispiel zeigt das CloudTrail Protokoll eines `CreateKey` Vorgangs, bei dem ein KMS-Schlüssel mit symmetrischer Verschlüsselung in einem [AWS CloudHSM Schlüsselspeicher](keystore-cloudhsm.md) erstellt wird.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-14T17:39:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyUsage": "ENCRYPT_DECRYPT",
"bypassPolicyLockoutSafetyCheck": false,
"origin": "AWS_CLOUDHSM",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"customKeyStoreId": "cks-1234567890abcdef0",
"description": ""
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"creationDate": "Oct 14, 2021, 5:39:50 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "AWS_CLOUDHSM",
"customKeyStoreId": "cks-1234567890abcdef0",
"cloudHsmClusterId": "cluster-1a23b4cdefg",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"additionalEventData": {
"backingKey": "{\"backingKeyId\":\"backing-key-id\"}"
},
"requestID": "4f0b185c-588c-4767-9e90-c618f7e13cad",
"eventID": "c73964b8-703d-49e4-bd9e-f773d0ee1e65",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Das folgende Beispiel zeigt das CloudTrail Protokoll eines `CreateKey` Vorgangs, bei dem ein KMS-Schlüssel mit symmetrischer Verschlüsselung in einem [externen Schlüsselspeicher](keystore-external.md) erstellt wird.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-07T22:37:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"tags": [],
"keyUsage": "ENCRYPT_DECRYPT",
"description": "",
"origin": "EXTERNAL_KEY_STORE",
"multiRegion": false,
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"bypassPolicyLockoutSafetyCheck": false,
"customKeyStoreId": "cks-1234567890abcdef0",
"xksKeyId": "bb8562717f809024"
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Dec 7, 2022, 10:37:45 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "EXTERNAL_KEY_STORE",
"customKeyStoreId": "cks-1234567890abcdef0",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false,
"xksKeyConfiguration": {
"id": "bb8562717f809024"
}
}
},
"requestID": "ba197c82-3ac7-487a-8ff4-7736bbeb1316",
"eventID": "838ad5f4-5fdd-4044-afd7-4dbd88c6af56",
"readOnly": false,
"resources": [
{
"accountId": "227179770375",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:227179770375:key/39c5eb22-f37c-4956-92ca-89e8f8b57ab2"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Decrypt
Diese Beispiele zeigen AWS CloudTrail Protokolleinträge für den [Decrypt-Vorgang.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
Der CloudTrail Protokolleintrag für einen `Decrypt` Vorgang enthält immer das`encryptionAlgorithm`, `requestParameters` auch wenn der Verschlüsselungsalgorithmus in der Anforderung nicht angegeben wurde. Der Chiffretext in der Anforderung und der Klartext in der Antwort werden weggelassen.
**Topics**
+ [
## Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
](#ct-decrypt-default)
+ [
## Fehler bei der Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
](#ct-decrypt-fail)
+ [
## Entschlüsseln Sie mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher
](#ct-decrypt-hsm)
+ [
## Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
](#ct-decrypt-xks)
+ [
## Fehler bei der Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
](#ct-decrypt-xks-fail)
+ [
## Entschlüsseln Sie mit einem standardmäßigen symmetrischen Verschlüsselungsschlüssel über eine Post-Quantum-TLS-Verbindung
](#ct-decrypt-default-pqtls)
## Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
Im Folgenden finden Sie ein Beispiel für einen CloudTrail Protokolleintrag für einen `Decrypt` Vorgang mit einem standardmäßigen symmetrischen Verschlüsselungsschlüssel.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## Fehler bei der Entschlüsselung mit einem symmetrischen Standardverschlüsselungsschlüssel
Der folgende CloudTrail Beispielprotokolleintrag zeichnet einen fehlgeschlagenen `Decrypt` Vorgang mit einem KMS-Schlüssel für die symmetrische Standardverschlüsselung auf. Die Ausnahme (`errorCode`) und die Fehlermeldung (`errorMessage`) sind enthalten und helfen Ihnen, den Fehler zu beheben.
In diesem Fall war der in der `Decrypt`-Anfrage angegebene symmetrische KMS-Verschlüsselungsschlüssel nicht der symmetrische KMS-Verschlüsselungsschlüssel, der zum Verschlüsseln der Daten verwendet wurde.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## Entschlüsseln Sie mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher
Der folgende CloudTrail Beispielprotokolleintrag zeichnet einen `Decrypt` Vorgang mit einem KMS-Schlüssel in einem [AWS CloudHSM Schlüsselspeicher](keystore-cloudhsm.md) auf. Alle Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem `customKeyStoreId` und`backingKeyId`. Der im `backingKeyId` Feld zurückgegebene Wert ist das `id` CloudHSM-Schlüsselattribut. Die `additionalEventData` ist nicht in der Anfrage angegeben.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
Der folgende CloudTrail Beispielprotokolleintrag zeichnet einen `Decrypt` Vorgang mit einem KMS-Schlüssel in einem [externen Schlüsselspeicher](keystore-external.md) auf. Zusätzlich zur `customKeyStoreId` enthält das `additionalEventData`-Feld die [externe Schlüssel-ID](keystore-external.md#concept-external-key) (`XksKeyId`). Die `additionalEventData` ist nicht in der Anfrage angegeben.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Fehler bei der Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher
Der folgende CloudTrail Beispielprotokolleintrag zeichnet eine fehlgeschlagene Anforderung für einen `Decrypt` Vorgang mit einem KMS-Schlüssel in einem [externen Schlüsselspeicher](keystore-external.md) auf. CloudWatch protokolliert zusätzlich zu erfolgreichen Anfragen auch fehlgeschlagene Anfragen. Bei der Aufzeichnung eines Fehlers enthält der CloudTrail Protokolleintrag die Ausnahme (errorCode) und die zugehörige Fehlermeldung (errorMessage).
Wenn die fehlgeschlagene Anforderung Ihren externen Schlüsselspeicher-Proxy erreicht hat, wie in diesem Beispiel, können Sie den `requestId`-Wert verwenden, um die fehlgeschlagene Anforderung einer entsprechenden Anfrage zuzuordnen, die Ihr externer Schlüsselspeicher-Proxy protokolliert, sofern Ihr Proxy sie bereitstellt.
Hilfe zu `Decrypt`-Anfragen in externen Schlüsselspeichern finden Sie unter [Entschlüsselungsfehler](xks-troubleshooting.md#fix-xks-decrypt).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Entschlüsseln Sie mit einem standardmäßigen symmetrischen Verschlüsselungsschlüssel über eine Post-Quantum-TLS-Verbindung
Im Folgenden finden Sie ein Beispiel für einen CloudTrail Protokolleintrag für einen `Decrypt` Vorgang mit einem standardmäßigen symmetrischen Verschlüsselungsschlüssel über eine Post-Quantum-TLS-Verbindung. Das KeyExchange-Feld im Abschnitt erwähnt. `tlsDetails` `X25519MLKEM768` [Dabei handelt es sich um einen *hybriden* Algorithmus, der [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH) über [Curve 25519](https://en.wikipedia.org/wiki/Curve25519), einen klassischen Schlüsselaustauschalgorithmus, der heute in TLS verwendet wird, mit [Module-Lattice-Based Key-Encapsulation Mechanism](https://csrc.nist.gov/pubs/fips/203/final) (ML-KEM) kombiniert, einem Public-Key-Verschlüsselungs- und Schlüsselerstellungsalgorithmus, den das National Institute for Standards and Technology (NIST) als seinen ersten Standardalgorithmus nach der Quantenschlüsselvereinbarung bezeichnet hat.](https://csrc.nist.gov/pubs/fips/203/final)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```
# DeleteAlias
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)Vorgang. Weitere Informationen zum Löschen von Aliassen finden Sie unter [Einen Alias löschen](alias-delete.md).
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-04T00:52:27Z"
}
}
},
"eventTime": "2014-11-04T00:52:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteAlias",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9542792-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "12f48554-bb04-4991-9cfc-e7e85f68eda0",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-east-1:111122223333:alias/my_alias",
"accountId": "111122223333"
},
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DeleteCustomKeyStore
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf der [https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Operation generiert wurde. Hinweise zum Erstellen von benutzerdefinierten Schlüsselspeichern finden Sie unter [Einen AWS CloudHSM Schlüsselspeicher löschen](delete-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DeleteExpiredKeyMaterial
Wenn Sie Schlüsselmaterial in einen AWS KMS key (KMS-Schlüssel) importieren, können Sie ein Ablaufdatum und eine Ablaufzeit für dieses Schlüsselmaterial festlegen. AWS KMS zeichnet einen Eintrag in Ihrem CloudTrail Protokoll auf, wenn Sie [das Schlüsselmaterial importieren](ct-importkeymaterial.md) (mit den Ablaufeinstellungen) und wenn das abgelaufene Schlüsselmaterial AWS KMS gelöscht wird. Weitere Informationen zum Erstellen eines KMS-Schlüssels mit importiertem Schlüsselmaterial finden Sie unter [Schlüsselmaterial für AWS KMS Schlüssel importieren](importing-keys.md).
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der generiert wird, wenn das abgelaufene Schlüsselmaterial AWS KMS gelöscht wird.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-22T19:55:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteExpiredKeyMaterial",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "cfa932fd-0d3a-4a76-a8b8-616863a2b547",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"eventCategory": "Management"
}
```
# DeleteImportedKeyMaterial
Wenn Sie Schlüsselmaterial in einen KMS-Schlüssel importieren, können Sie das importierte Schlüsselmaterial mithilfe der [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)Operation jederzeit löschen. Wenn Sie importiertes Schlüsselmaterial von einem KMS-Schlüssel löschen, ändert sich der Schlüsselstatus des KMS-Schlüssels auf `PendingImport`, und der KMS-Schlüssel kann nicht in kryptografischen Vorgängen verwendet werden. Details hierzu finden Sie unter [Importiertes Schlüsselmaterial löschen](importing-keys-delete-key-material.md).
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der für den `DeleteImportedKeyMaterial` Vorgang generiert wurde.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteImportedKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "dcf0e82f-dad0-4622-a378-a5b964ad42c1",
"eventID": "2afbb991-c668-4641-8a00-67d62e1fecbd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# DeleteKey
Diese Beispiele zeigen den AWS CloudTrail Protokolleintrag, der generiert wird, wenn ein KMS-Schlüssel gelöscht wird. Um einen KMS-Schlüssel zu löschen, verwenden Sie den [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)Vorgang. AWS KMS Löscht nach Ablauf der angegebenen Wartezeit den KMS-Schlüssel und zeichnet einen Eintrag wie den folgenden in Ihrem CloudTrail Protokoll auf, um dieses Ereignis aufzuzeichnen.
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
Ein Beispiel für den CloudTrail Protokolleintrag für den `ScheduleKeyDeletion` Vorgang finden Sie unter[ScheduleKeyDeletion](ct-schedule-key-deletion.md). Weitere Informationen zum Erstellen und Verwalten von KMS-Schlüsseln finden Sie unter Erste Schritte.
Der folgende CloudTrail Beispielprotokolleintrag zeichnet einen `DeleteKey` Vorgang eines KMS-Schlüssels auf, in dem Schlüsselmaterial enthalten ist AWS KMS.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-07-31T00:07:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "b25f9cda-74e1-4458-847b-4972a0bf9668",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
Der folgende CloudTrail Protokolleintrag zeichnet einen `DeleteKey` Vorgang eines KMS-Schlüssels in einem AWS CloudHSM [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) auf.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"SUCCESS\"}]"
},
"eventID": "1234585c-4b0c-4340-ab11-662414b79239",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
# DescribeCustomKeyStores
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf der [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Operation generiert wurde. Hinweise zum Anzeigen von benutzerdefinierten Schlüsselspeichern finden Sie unter [Sehen Sie sich einen AWS CloudHSM Schlüsselspeicher an](view-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeCustomKeyStores",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "2ea1735f-628d-43e3-b2ee-486d02913a78",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DescribeKey
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang. AWS KMS zeichnet einen Eintrag wie den folgenden auf, wenn Sie den `DescribeKey` Vorgang [aufrufen oder KMS-Schlüssel](viewing-keys.md) in der AWS KMS Konsole anzeigen. Dieser Aufruf ist das Ergebnis der Anzeige eines Schlüssels in der AWS KMS Verwaltungskonsole.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-26T18:01:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKey
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)Vorgang. Hinweise zum Aktivieren und Deaktivieren von AWS KMS keys in finden Sie AWS KMS unter[Tasten aktivieren und deaktivieren](enabling-keys.md).
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKeyRotation
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf des [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)Vorgangs generiert wurde. Weitere Informationen zur automatischen Schlüsselrotation finden Sie unter [Rotieren AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:31:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "d6a9351a-ed6e-4581-88d1-2a9a8a538497",
"eventID": "6313164c-83aa-4cc3-9e1a-b7c426f7a5b1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# DisconnectCustomKeyStore
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf der [https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Operation generiert wurde. Hinweise zum Trennen von benutzerdefinierten Schlüsselspeichern finden Sie unter [Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisconnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# EnableKey
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)Vorgang. Informationen zum Aktivieren und Deaktivieren von AWS KMS keys in finden Sie AWS KMS unter.. [Tasten aktivieren und deaktivieren](enabling-keys.md)
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:20Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d528a6fb-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "be393928-3629-4370-9634-567f9274d52e",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# EnableKeyRotation
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag eines Aufrufs der [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)Operation. Ein Beispiel für den CloudTrail Protokolleintrag, der geschrieben wird, wenn der Schlüssel gedreht wird, finden Sie unter[RotateKey](ct-rotatekey.md). Weitere Informationen zur Drehung von AWS KMS keys finden Sie unter [Rotieren AWS KMS keys](rotate-keys.md).
**Anmerkung**
Das [rotation-period](rotate-keys.md#rotation-period) ist ein optionaler Anforderungsparameter. Wenn Sie bei der Aktivierung der automatischen Schlüsselrotation keinen Rotationszeitraum angeben, ist der Standardwert 365 Tage.
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:41:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"rotationPeriodInDays": 180
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "81f5b794-452b-4d6a-932b-68c188165273",
"eventID": "fefc43a7-8e06-419f-bcab-b3bf18d6a401",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Encrypt
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den Vorgang [Encrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"Department": "Engineering"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "f3423043-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "91235988-eb87-476a-ac2c-0cdc244e6dca",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKey
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Vorgang.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKeyPair
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)Vorgang. In diesem Beispiel wird eine Operation aufgezeichnet, die ein RSA-Schlüsselpaar generiert, das mit einer symmetrischen Verschlüsselung AWS KMS key verschlüsselt ist.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyPairWithoutPlaintext
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)Vorgang. In diesem Beispiel wird eine Operation aufgezeichnet, die ein RSA-Schlüsselpaar generiert, das mit einer symmetrischen Verschlüsselung AWS KMS key verschlüsselt ist.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPairWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_4096",
"encryptionContext": {
"Index": "5"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyWithoutPlaintext
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)Vorgang.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "d6b8e411-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f7734272-9ec5-4c80-9f36-528ebbe35e4a",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateMac
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)Vorgang.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-12-23T19:26:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_512",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# GenerateRandom
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)Vorgang. Da dieser Vorgang kein verwendet AWS KMS key, ist das `resources` Feld leer.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyPolicy
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)Vorgang. Informationen zum Anzeigen der Schlüsselrichtlinie für einen KMS-Schlüssel finden Sie unter [Wichtige Richtlinien anzeigen](key-policy-viewing.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:50:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default"
},
"responseElements": null,
"requestID": "93746dd6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "4aa7e4d5-d047-452a-a5a6-2cce282a7e82",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyRotationStatus
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)Vorgang. Informationen zur automatischen und bedarfsgesteuerten Rotation von Schlüsselmaterial für einen KMS-Schlüssel finden Sie unter[Rotieren AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T19:16:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyRotationStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12f9b7e8-49b9-4c1c-a7e3-34ac0cdf0467",
"eventID": "3d082126-9e7d-4167-8372-a6cfcbed4be6",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GetParametersForImport
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der generiert wurde, wenn Sie den [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)Vorgang verwenden. Dieser Vorgang gibt den öffentlichen Schlüssel und Import-Token zurück, den Sie beim Importieren von Schlüsselmaterial in einen KMS-Schlüssel verwenden. Derselbe CloudTrail Eintrag wird aufgezeichnet, wenn Sie den `GetParametersForImport` Vorgang verwenden oder die AWS KMS Konsole verwenden, um [den öffentlichen Schlüssel herunterzuladen und das Token zu importieren](importing-keys-get-public-key-and-token.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:58:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetParametersForImport",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"wrappingAlgorithm": "RSAES_OAEP_SHA_256",
"wrappingKeySpec": "RSA_2048"
},
"responseElements": null,
"requestID": "b5786406-e3c7-43d6-8d3c-6d5ef96e2278",
"eventID": "4023e622-0c3e-4324-bdef-7f58193bba87",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ImportKeyMaterial
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der generiert wurde, wenn Sie den [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)Vorgang verwenden. Derselbe CloudTrail Eintrag wird aufgezeichnet, wenn Sie den `ImportKeyMaterial` Vorgang verwenden oder die AWS KMS Konsole verwenden, um [Schlüsselmaterial in eine zu importieren](importing-keys-import-key-material.md) AWS KMS key.
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ImportKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"validTo": "May 21, 2025, 5:47:45 AM",
"expirationModel": "KEY_MATERIAL_EXPIRES",
"importType": "NEW_KEY_MATERIAL",
"keyMaterialDescription": "ExampleKeyMaterialA"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "89e10ee7-a612-414d-95a2-a128346969fd",
"eventID": "c7abd205-a5a2-4430-bbfa-fc10f3e2d79f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ListAliases
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Vorgang. Da dieser Vorgang keinen bestimmten Alias oder verwendet AWS KMS key, ist das `resources` Feld leer. Hinweise zum Anzeigen von Aliasnamen in finden Sie AWS KMS unter[Suchen Sie den Aliasnamen und den Alias-ARN für einen KMS-Schlüssel](alias-view.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:51:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListAliases",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"limit": 5,
"marker": "eyJiIjoiYWxpYXMvZTU0Y2MxOTMtYTMwNC00YzEwLTliZWItYTJjZjA3NjA2OTJhIiwiYSI6ImFsaWFzL2U1NGNjMTkzLWEzMDQtNGMxMC05YmViLWEyY2YwNzYwNjkyYSJ9"
},
"responseElements": null,
"requestID": "bfe6c190-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a27dda7b-76f1-4ac3-8b40-42dfba77bcd6",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListGrants
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [ListGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Vorgang. Informationen zu Zuschüssen AWS KMS finden Sie unter[Zuschüsse in AWS KMS](grants.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListGrants",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"marker": "eyJncmFudElkIjoiMWY4M2U2ZmM0YTY2NDgxYjQ2Yzc4MTdhM2Y4YmQwMDFkZDNiYmQ1MGVlYTMyY2RmOWFiNWY1Nzc1NDNjYmNmMyIsImtleUFybiI6ImFybjphd3M6dHJlbnQtc2FuZGJveDp1cy1lYXN0LTE6NTc4Nzg3Njk2NTMwOmtleS9lYTIyYTc1MS1lNzA3LTQwZDAtOTJhYy0xM2EyOGZhOWViMTEifQ\u003d\u003d",
"limit": 10
},
"responseElements": null,
"requestID": "e5c23960-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "d24380f5-1b20-4253-8e92-dd0492b3bd3d",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListKeyRotations
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)Vorgang. Informationen zur automatischen und bedarfsgesteuerten Rotation von Schlüsselmaterial für einen KMS-Schlüssel finden Sie unter[Rotieren AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeyRotations",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"includeKeyMaterial": "ALL_KEY_MATERIAL"
},
"responseElements": null,
"requestID": "99c88d32-f2db-455e-8a9a-23855258a452",
"eventID": "8ce0e74b-b9c7-45a2-96ef-83136d38068e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# PutKeyPolicy
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf des [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)Vorgangs generiert wurde. Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [Schlüsselrichtlinie ändern](key-policy-modifying.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T20:06:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "PutKeyPolicy",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default",
"policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",\n \"Statement\" : [ {\n \"Sid\" : \"Enable IAM User Permissions\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::111122223333:root\"\n },\n \"Action\" : \"kms:*\",\n \"Resource\" : \"*\"\n } ]\n}",
"bypassPolicyLockoutSafetyCheck": false
},
"responseElements": null,
"requestID": "7bb906fa-dc21-4350-b65c-808ff0f72f55",
"eventID": "c217db1f-903f-4a2f-8f88-9580182d6313",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# ReEncrypt
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)Vorgang. Das `resources` Feld in diesem Protokolleintrag gibt zwei an AWS KMS keys, den KMS-Quellschlüssel und den KMS-Zielschlüssel, in dieser Reihenfolge.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-22T19:34:55Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceEncryptionContext": {
"Project": "Alpha",
"Department": "Engineering"
},
"destinationKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"destinationEncryptionContext": {
"Level": "3A"
}
},
"responseElements": null,
"additionalEventData": {
"destinationKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"sourceKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "03769fd4-acf9-4b33-adf3-2ab8ca73aadf",
"eventID": "542d9e04-0e8d-4e05-bf4b-4bdeb032e6ec",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ReplicateKey
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf des [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)Vorgangs generiert wurde. Eine `ReplicateKey` Anfrage führt zu einer `ReplicateKey` Operation und einer [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Operation.
Informationen zum Replizieren von multiregionalen Schlüsseln finden Sie unter [Replikatschlüssel für mehrere Regionen erstellen](multi-region-keys-replicate.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-18T01:29:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReplicateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"replicaRegion": "us-west-2",
"bypassPolicyLockoutSafetyCheck": false,
"description": ""
},
"responseElements": {
"replicaKeyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Nov 18, 2020, 1:29:18 AM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Creating",
"origin": "AWS_KMS",
"keyManager": "CUSTOMER",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": true,
"multiRegionConfiguration": {
"multiRegionKeyType": "REPLICA",
"primaryKey": {
"arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-east-1"
},
"replicaKeys": [
{
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-west-2"
}
]
}
},
"replicaPolicy": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":[{\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:user/Alice\"},\n \"Action\":\"kms:*\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Bob\"},\n \"Action\":\"kms:CreateGrant\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Charlie\"},\n \"Action\":\"kms:Encrypt\",\n \"Resource\":\"*\"\n}]\n}",
},
"requestID": "abcdef68-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "fedcba44-6773-4f96-8763-1993aec9ae6a",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RetireGrant
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf des [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Vorgangs generiert wurde. Informationen zur Außerbetriebnahme von Erteilungen finden Sie unter [Außerbetriebnahme und Widerruf von Erteilungen](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:39:33Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "1d274d57-5697-462c-a004-f25fcc29fa26",
"eventID": "0771bcfb-3e24-4332-9ac8-e1c06563eecf",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RevokeGrant
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf der Operation generiert wurde. [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) Informationen zum Widerrufen von Erteilungen finden Sie unter [Außerbetriebnahme und Widerruf von Erteilungen](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:35:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RevokeGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"responseElements": null,
"requestID": "59d94c03-c5b7-428d-ae6e-f2c4b47d2917",
"eventID": "07a23a39-6526-4ae2-b31e-d35fbe9e24ee",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RotateKey
Diese Beispiele zeigen die AWS CloudTrail Protokolleinträge für die Operationen, die rotieren. AWS KMS keys Weitere Informationen zur Drehung von KMS-Schlüssel finden Sie unter [Rotieren AWS KMS keys](rotate-keys.md).
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für den Vorgang, bei dem ein KMS-Schlüssel mit symmetrischer Verschlüsselung rotiert wird, für den die automatische Schlüsselrotation aktiviert ist. Hinweise zur Aktivierung der automatischen Rotation finden Sie unter. [Rotieren AWS KMS keys](rotate-keys.md)
Ein Beispiel für den CloudTrail Protokolleintrag, der den `EnableKeyRotation` Vorgang aufzeichnet, finden Sie unter[EnableKeyRotation](ct-enablekeyrotation.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyOrigin": "AWS_KMS",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine Rotation auf Anforderung, die durch den [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)Vorgang initiiert wurde. Hinweise zur bedarfsgerechten Rotation von KMS-Schlüsseln mit symmetrischer Verschlüsselung finden Sie unter[Führen Sie die Schlüsselrotation bei Bedarf durch](rotating-keys-on-demand.md).
Ein Beispiel für den CloudTrail Protokolleintrag, der den `RotateKeyOnDemand` Vorgang aufzeichnet, finden Sie unter[RotateKeyOnDemand](ct-rotatekeyondemand.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "ON_DEMAND",
"keyOrigin": "EXTERNAL",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# RotateKeyOnDemand
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)Vorgang. Ein Beispiel für den CloudTrail Protokolleintrag, der geschrieben wird, wenn der Schlüssel gedreht wird, finden Sie unter[RotateKey](ct-rotatekey.md). Weitere Informationen zur On-Demand-Rotation von Schlüsselmaterial für einen KMS-Schlüssel finden Sie unter[Führen Sie die Schlüsselrotation bei Bedarf durch](rotating-keys-on-demand.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T17:41:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKeyOnDemand",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "9e1dee86-eb84-42fd-8f25-e3fc7dbb32c8",
"eventID": "00a09fbc-20d6-4a58-9b92-7da85984ab77",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# ScheduleKeyDeletion
Diese Beispiele zeigen AWS CloudTrail Protokolleinträge für den [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)Vorgang.
Ein Beispiel für den CloudTrail Protokolleintrag, der beim Löschen des Schlüssels geschrieben wird, finden Sie unter[DeleteKey](ct-delete-key.md). Informationen zum Löschen von AWS KMS keys finden Sie unter [Lösche eine AWS KMS key](deleting-keys.md).
Im folgenden Beispiel wird eine `ScheduleKeyDeletion`-Anforderung für einen einzelregionalen KMS-Schlüssel aufgezeichnet.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-23T18:58:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 20,
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyState": "PendingDeletion",
"deletionDate": "Apr 12, 2021 18:58:30 PM"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Im folgenden Beispiel wird eine `ScheduleKeyDeletion`-Anforderung für einen multiregionalen KMS-Schlüssel mit Replikatschlüsseln aufgezeichnet.
Denn ein Schlüssel mit mehreren Regionen AWS KMS wird erst gelöscht, wenn alle zugehörigen Replikatschlüssel gelöscht wurden. In dem `responseElements` Feld `keyState` wird das ist `PendingReplicaDeletion` und das `deletionDate` Feld weggelassen.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-28T17:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 30,
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"keyState": "PendingReplicaDeletion",
"pendingWindowInDays": 30
},
"requestID": "12341411-d846-42a6-a476-b1cbe3011f89",
"eventID": "abcda5f-396d-494c-9380-0c47860df5f1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Im folgenden Beispiel wird eine `ScheduleKeyDeletion` Anforderung für einen KMS-Schlüssel in einem AWS CloudHSM [benutzerdefinierten Schlüsselspeicher](key-store-overview.md#custom-key-store-overview) aufgezeichnet.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:25:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"pendingWindowInDays": 30
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"deletionDate": "Nov 2, 2021, 11:25:25 PM",
"keyState": "PendingDeletion",
"pendingWindowInDays": 30
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]"
},
"requestID": "abcd9f60-2c9c-4a0b-a456-d5d998f7f321",
"eventID": "ca01996a-01b0-4edd-bbbb-25d7b6d1a6fa",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Sign
Diese Beispiele zeigen AWS CloudTrail Protokolleinträge für den Vorgang [Signieren](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html).
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen [Sign-Vorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html), der einen asymmetrischen RSA-KMS-Schlüssel verwendet, um eine digitale Signatur für eine Datei zu generieren.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:36:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Sign",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"messageType": "RAW",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256"
},
"responseElements": null,
"requestID": "8d0b35e0-46cf-48b9-be99-bf2ebc9ab9fb",
"eventID": "107b3cac-b125-4556-9702-12a2b9afcff7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# SynchronizeMultiRegionKey
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der generiert wird, wenn ein Schlüssel mit [mehreren Regionen AWS KMS](multi-region-keys-overview.md) synchronisiert wird. Die Synchronisierung beinhaltet regionsübergreifende Aufrufe, um die [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) eines Primärschlüssels mit mehreren Regionen in seine Replikatschlüssel zu kopieren. AWS KMS synchronisiert Schlüssel mit mehreren Regionen in regelmäßigen Abständen, um sicherzustellen, dass alle zugehörigen Schlüssel für mehrere Regionen dasselbe Schlüsselmaterial haben.
Das `resources` Element des CloudTrail Protokolleintrags enthält den Schlüssel-ARN des Primärschlüssels für mehrere Regionen, einschließlich seines AWS-Region. Die zugehörigen multiregionalen Replikatschlüssel und ihre Regionen werden in diesem Protokolleintrag nicht aufgeführt.
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-11-18T02:04:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345681-de97-42e9-bed0-b02ae1abd8dc",
"eventID": "abcdec99-2b5c-4670-9521-ddb8f031e146",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# TagResource
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag eines Aufrufs der [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)Operation zum Hinzufügen eines Tags mit dem Tag-Schlüssel `Department` und dem Tag-Wert von`IT`.
Ein Beispiel für einen `UntagResource` CloudTrail Protokolleintrag, der geschrieben wird, wenn der Schlüssel gedreht wird, finden Sie unter[UntagResource](ct-untagresource.md). Hinweise zum Markieren finden Sie AWS KMS keys unter[Schlagworte in AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "TagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tags": [
{
"tagKey": "Department",
"tagValue": "IT"
}
]
},
"responseElements": null,
"requestID": "b942584a-f77d-4787-9feb-b9c5be6e746d",
"eventID": "0a091b9b-0df5-4cf9-b667-6f2879532b8f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UntagResource
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag eines Aufrufs der [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)Operation zum Löschen eines Tags mit dem Tag-Schlüssel von`Dept`.
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
Ein Beispiel für einen `TagResource` CloudTrail Protokolleintrag finden Sie unter[TagResource](ct-tagresource.md). Weitere Informationen über das Markieren von AWS KMS keys finden Sie unter [Schlagworte in AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UntagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tagKeys": [
"Dept"
]
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "cb1d507b-6015-47f4-812b-179713af8068",
"eventID": "0b00f4b0-036e-411d-aa75-87eb4a35a4b3",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateAlias
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)Vorgang. Das `resources`-Element enthält Felder für den Alias und KMS-Schlüsselressourcen. Hinweise zum Erstellen von Aliasen in finden Sie AWS KMS unter[Aliase erstellen](alias-create.md).
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-13T23:18:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9472f40-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f72d3993-864f-48d6-8f16-e26e1ae8dff0",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/my_alias"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateCustomKeyStore
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf des [https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgangs zur Aktualisierung der Cluster-ID für einen benutzerdefinierten Schlüsselspeicher generiert wurde. Hinweise zum Bearbeiten von benutzerdefinierten Schlüsselspeichern finden Sie unter [Einstellungen AWS CloudHSM für den Schlüsselspeicher bearbeiten](update-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# UpdateKeyDescription
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag, der durch den Aufruf des [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)Vorgangs generiert wurde.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:22:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateKeyDescription",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"description": "New key description"
},
"responseElements": null,
"requestID": "8c3c1f8b-336d-4896-b034-4eb9916bc9b3",
"eventID": "f5f3d548-2e9e-4658-8427-9dcb5b1ea791",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# UpdatePrimaryRegion
Das folgende Beispiel zeigt die AWS CloudTrail Protokolleinträge, die generiert werden, wenn der [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)Vorgang für einen [Schlüssel mit mehreren Regionen](multi-region-keys-overview.md) aufgerufen wird.
Der `UpdatePrimaryRegion` Vorgang schreibt zwei CloudTrail Protokolleinträge: einen in der Region mit dem Primärschlüssel für mehrere Regionen, der in einen Replikatschlüssel konvertiert wird, und einen in der Region mit einem Replikatschlüssel für mehrere Regionen, der in einen Primärschlüssel umgewandelt wird.
CloudTrail Protokolleinträge für diesen Vorgang, die am oder nach Dezember 2022 aufgezeichnet wurden, enthalten den Schlüssel-ARN des betroffenen KMS-Schlüssels im `responseElements.keyId` Wert, obwohl dieser Vorgang den Schlüssel-ARN nicht zurückgibt.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für die Region, `UpdatePrimaryRegion` in der der Schlüssel für mehrere Regionen von einem Primärschlüssel zu einem Replikatschlüssel (us-west-2) geändert wurde. Das `primaryRegion`-Feld zeigt die Region an, die nun den Primärschlüssel hostet (ap-northeast-1).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Das folgende Beispiel stellt den CloudTrail Protokolleintrag für die Region dar, `UpdatePrimaryRegion` in der der Schlüssel für mehrere Regionen von einem Replikatschlüssel in einen Primärschlüssel (ap-northeast-1) geändert wurde. Dieser Protokolleintrag identifiziert die vorherige primäre Region nicht.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"invokedBy": "kms.amazonaws.com"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "091e6be5-737f-43c6-8431-e3679d6d0619",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# VerifyMac
Das folgende Beispiel zeigt einen AWS CloudTrail Protokolleintrag für den [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)Vorgang.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-31T19:25:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "VerifyMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_384",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "f35da560-edff-4d6e-9b40-fb306fa9ef1e",
"eventID": "6b464487-6dea-44cd-84ad-225d7450c975",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Verify
Diese Beispiele zeigen AWS CloudTrail Protokolleinträge für den Vorgang [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen [Verify-Vorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html), bei dem ein asymmetrischer RSA-KMS-Schlüssel zur Überprüfung einer digitalen Signatur verwendet wird.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:50:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Verify",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"messageType": "RAW"
},
"responseElements": null,
"requestID": "c73ab82a-af82-4750-ae2c-b6bb790e9c28",
"eventID": "3b4331cd-5b7b-4de5-bf5f-82ec22f0dac0",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# EC2 Amazon-Beispiel eins
Das folgende Beispiel zeichnet einen IAM-Prinzipal auf, der ein verschlüsseltes Volume mithilfe des Standard-Volumeschlüssels in der EC2 Amazon-Managementkonsole erstellt.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, in dem die Benutzerin Alice in der EC2 Amazon-Managementkonsole ein verschlüsseltes Volume mit einem Standard-Volume-Schlüssel erstellt. Der EC2 Protokolldateisatz enthält ein `volumeId` Feld mit dem Wert`"vol-13439757"`. Der AWS KMS Datensatz enthält ein `encryptionContext` Feld mit dem Wert`"aws:ebs:id": "vol-13439757"`. Auch die `principalId` und `accountId` zwischen den beiden Datensätzen stimmen überein. Die Datensätze zeigen, dass bei der Erstellung eines verschlüsselten Volumes ein Datenschlüssel für die Verschlüsselung der Volume-Inhalte generiert wird.
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:18Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateVolume",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"size": "10",
"zone": "us-east-1a",
"volumeType": "gp2",
"encrypted": true
},
"responseElements": {
"volumeId": "vol-13439757",
"size": "10",
"zone": "us-east-1a",
"status": "creating",
"createTime": 1415220618876,
"volumeType": "gp2",
"iops": 30,
"encrypted": true
},
"requestID": "1565210e-73d0-4912-854c-b15ed349e526",
"eventID": "a3447186-135f-4b00-8424-bc41f1a93b4f",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "&AWS; Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-13439757"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-123456789012-758241111-1415220618",
"eventID": "4bd2a696-d833-48cc-b72c-05e61b608399",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# EC2 Amazon-Beispiel zwei
Im folgenden Beispiel erstellt und mountet ein IAM-Principal, der eine EC2 Amazon-Instance ausführt, ein Datenvolume, das unter einem KMS-Schlüssel verschlüsselt ist. Diese Aktion generiert mehrere CloudTrail Protokolldatensätze. Weitere Informationen zu Amazon EBS und Verschlüsselung finden Sie unter [Anforderungen für die Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-instance-permissions).
Wenn das Volume erstellt wird EC2, erhält Amazon im Namen des Kunden einen verschlüsselten Datenschlüssel von AWS KMS (`GenerateDataKeyWithoutPlaintext`). Dann wird eine Berechtigungserteilung (`CreateGrant`) erstellt, über die der Datenschlüssel entschlüsselt werden kann. Wenn das Volume bereitgestellt ist, EC2 ruft Amazon auf, AWS KMS um den Datenschlüssel zu entschlüsseln (`Decrypt`).
Die `instanceId` der EC2 Amazon-Instance,`"i-81e2f56c"`, wird im `RunInstances` Ereignis angezeigt. Dieselbe Instance-ID qualifiziert den `granteePrincipal` der erstellten Berechtigungserteilung (`"111122223333:aws:ec2-infrastructure:i-81e2f56c"`) und die angenommene Rolle, die der Prinzipal im `Decrypt`-Aufruf ist (`"arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c"`).
Der [Schlüssel-ARN](concepts.md#key-id-key-ARN) des KMS-Schlüssels, der das Datenvolumen schützt`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`, erscheint in allen drei AWS KMS Aufrufen (`CreateGrant``GenerateDataKeyWithoutPlaintext`, und`Decrypt`).
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:27Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "RunInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"imageId": "ami-b66ed3de",
"minCount": 1,
"maxCount": 1
}
]
},
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2"
}
]
},
"instanceType": "m3.medium",
"blockDeviceMapping": {
"items": [
{
"deviceName": "/dev/xvda",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": true,
"volumeType": "gp2"
}
},
{
"deviceName": "/dev/sdb",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": false,
"volumeType": "gp2",
"encrypted": true
}
}
]
},
"monitoring": {
"enabled": false
},
"disableApiTermination": false,
"instanceInitiatedShutdownBehavior": "stop",
"clientToken": "XdKUT141516171819",
"ebsOptimized": false
},
"responseElements": {
"reservationId": "r-5ebc9f74",
"ownerId": "111122223333",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"instancesSet": {
"items": [
{
"instanceId": "i-81e2f56c",
"imageId": "ami-b66ed3de",
"instanceState": {
"code": 0,
"name": "pending"
},
"amiLaunchIndex": 0,
"productCodes": {
},
"instanceType": "m3.medium",
"launchTime": 1415223328000,
"placement": {
"availabilityZone": "us-east-1a",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"stateReason": {
"code": "pending",
"message": "pending"
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
},
"virtualizationType": "hvm",
"hypervisor": "xen",
"clientToken": "XdKUT1415223327917",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"networkInterfaceSet": {
},
"ebsOptimized": false
}
]
}
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "cd75a605-2fee-4fda-b847-9c3d330ebaae",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"granteePrincipal": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "c1ad79e3-0d3f-402a-b119-d5c31d7c6a6c",
"readOnly": false,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-111122223333-758247346-1415223332",
"eventID": "ac3cab10-ce93-4953-9d62-0b6e5cba651d",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c",
"accountId": "111122223333",
"accessKeyId": "",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-05T21:35:38Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-infrastructure",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-infrastructure",
"accountId": "111122223333",
"userName": "aws:ec2-infrastructure"
}
}
},
"eventTime": "2014-11-05T21:35:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"responseElements": null,
"requestID": "b4b27883-6533-11e4-b4d9-751f1761e9e5",
"eventID": "edb65380-0a3e-4123-bbc8-3d1b7cff49b0",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Überwachen Sie KMS-Schlüssel mit Amazon CloudWatch
Sie können Ihre AWS KMS keys Nutzung von [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/) überwachen CloudWatch, einem AWS Service, der Rohdaten sammelt und AWS KMS in lesbare, nahezu in Echtzeit verfügbare Metriken verarbeitet. Diese Daten werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf historische Daten zugreifen und die Nutzung Ihrer KMS-Schlüssel sowie deren Änderungen besser nachvollziehen können.
Sie können Amazon verwenden CloudWatch , um Sie auf wichtige Ereignisse wie die folgenden aufmerksam zu machen.
+ Das importierte Schlüsselmaterial in einem KMS-Schlüssel befindet kurz vor dem Ablaufdatum.
+ Ein KMS-Schlüssel, dessen Löschung ansteht, wird immer noch verwendet.
+ Das Schlüsselmaterial in einem KMS-Schlüssel wurde automatisch rotiert.
+ Ein KMS-Schlüssel wurde gelöscht.
Sie können auch einen [ CloudWatchAmazon-Alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Einzelheiten finden Sie im *AWS Sicherheitsblog* unter [Verwalten Sie Ihre AWS KMS API-Anforderungsraten mithilfe von Service Quotas und Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/).
## AWS KMS Metriken und Dimensionen
AWS KMS definiert CloudWatch Amazon-Metriken, um Ihnen die Überwachung kritischer Daten und die Erstellung von Alarmen zu erleichtern. Sie können die AWS KMS Metriken mithilfe der AWS-Managementkonsole und der CloudWatch Amazon-API anzeigen.
In diesem Abschnitt werden die einzelnen AWS KMS Metriken und die Dimensionen für jede Metrik aufgeführt und einige grundlegende Anleitungen zur Erstellung von CloudWatch Alarmen auf der Grundlage dieser Metriken und Dimensionen bereitgestellt.
**Anmerkung**
**Name der Dimensionsgruppe**:
Um eine Metrik in der CloudWatch Amazon-Konsole anzuzeigen, wählen Sie im Abschnitt **Metriken** den Namen der Dimensionsgruppe aus. Dann können Sie nach dem **Metriknamen** filtern. Dieses Thema enthält den Metriknamen und den Dimensionsgruppennamen für jede AWS KMS -Metrik.
Sie können AWS KMS Metriken mithilfe der AWS-Managementkonsole und der CloudWatch Amazon-API anzeigen. Weitere Informationen finden Sie unter [Verfügbare Messwerte anzeigen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.
**Topics**
+ [
### SuccessfulRequest
](#key-level-api-usage-metric)
+ [
### SecondsUntilKeyMaterialExpiration
](#key-material-expiration-metric)
+ [
### Wolke HSMKey StoreThrottle
](#metric-throttling-cloudhsm)
+ [
### ExternalKeyStoreThrottle
](#metric-throttling)
+ [
### XksProxyCertificateDaysToExpire
](#metric-xks-proxy-certificate-days-to-expire)
+ [
### XksProxyCredentialAge
](#metric-xks-proxy-credential-age)
+ [
### XksProxyErrors
](#metric-xks-proxy-errors)
+ [
### XksExternalKeyManagerStates
](#metric-xks-ekm-states)
+ [
### XksProxyLatency
](#metric-xks-proxy-latency)
### SuccessfulRequest
Die Anzahl erfolgreicher Anfragen für kryptografische Operationen mit einem bestimmten KMS-Schlüssel. Mithilfe der `SuccessfulRequest` Metrik können Sie Filter auf Schlüsselebene auf die AWS KMS API-Nutzung in anwenden. CloudWatch Die `Sum` Statistik für diese Metrik definiert die Gesamtzahl der erfolgreichen Anfragen während des Zeitraums.
Verwenden Sie diese Metrik, um zu ermitteln, welche KMS-Schlüssel den größten Teil Ihres Anforderungskontingents verbrauchen oder am meisten zu den API-Gebühren beitragen. Sie können auch einen CloudWatch Alarm auf der Grundlage der `SuccesfulRequest` Metrik erstellen, um Sie über ungewöhnliche AWS KMS API-Nutzungsmuster zu informieren. Diese Benachrichtigungen können dabei helfen, ineffiziente Workflows zu identifizieren, die Ihre Anforderungsquoten unbeabsichtigt überschreiten oder unerwartete Gebühren verursachen könnten.
**Abmessungen für `SuccessfulRequest`**
| Dimension | Description |
| --- | --- |
| KeyArn | Wert für jeden KMS-Schlüssel. |
| Operation | Wert für jeden AWS KMS API-Vorgang. Diese Metrik gilt nur für kryptografische Operationen. |
Bei [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)Vorgängen umfasst die `SuccessfulRequest` Metrik Dimensionen sowohl für den Quell- als auch für den Ziel-KMS-Schlüssel.
| Dimension | Description |
| --- | --- |
| SourceKeyArn | Wert für den KMS-Schlüssel, der den Chiffretext entschlüsselt hat. |
| DestinationKeyArn | Wert für den KMS-Schlüssel, der die Daten erneut verschlüsselt hat. |
| Operation | Wert für jeden AWS KMS API-Vorgang, in diesem Fall ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
Die Anzahl der Sekunden, die bis zum frühesten ablaufenden [importierten Schlüsselmaterial in einem KMS-Schlüssel](importing-keys.md) verbleiben. Diese Metrik gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial ([Herkunft des Schlüsselmaterials](create-keys.md#key-origin) `EXTERNAL`) und einem Ablaufdatum.
Verwenden Sie diese Metrik, um zu verfolgen, wie viel Zeit noch verbleibt, bis Ihr importiertes Schlüsselmaterial abläuft, das am frühesten abläuft. Wenn diese Zeit unter einen von Ihnen definierten Schwellenwert fällt, sollten Sie das Schlüsselmaterial mit einem neuen Ablaufdatum erneut importieren, damit der KMS-Schlüssel weiterhin verwendet werden kann. Die `SecondsUntilKeyMaterialExpiration`-Metrik ist spezifisch für einen KMS-Schlüssel. Sie können diese Metrik nicht verwenden, um mehrere KMS-Schlüssel oder KMS-Schlüssel, die Sie möglicherweise in Zukunft erstellen werden, zu überwachen. Hilfe zum Erstellen eines CloudWatch Alarms zur Überwachung dieser Metrik finden Sie unter[Einen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen](imported-key-material-expiration-alarm.md).
Die nützlichste Statistik für diese Metrik ist `Minimum`, die Ihnen die kleinste verbleibende Zeit für alle Datenpunkte im angegebenen Statistikzeitraum angibt. Die einzige gültige Einheit für diese Metrik ist `Seconds`.
**Name der Dimensionsgruppe**: **Per-Key Metrics** (Metriken pro Schlüssel)
**Dimensionen für `SecondsUntilKeyMaterialExpiration`**
| Dimension | Beschreibung; bezieht sich auf AWS |
| --- | --- |
| KeyId | Wert für jeden KMS-Schlüssel. |
Wenn Sie für einen KMS-Schlüssel das [Löschen planen](deleting-keys.md), erzwingt AWS KMS vor dem Löschen des KMS-Schlüssels eine Wartezeit. In der Wartezeit können Sie sicherzustellen, dass Sie den KMS-Schlüssel jetzt oder in der Zukunft nicht mehr benötigen. Sie können auch einen CloudWatch Alarm konfigurieren, der Sie warnt, wenn eine Person oder Anwendung während der Wartezeit versucht, den KMS-Schlüssel in einem [kryptografischen Vorgang](kms-cryptography.md#cryptographic-operations) zu verwenden. Wenn Sie eine Benachrichtigung von einem solchen Alarm erhalten, können Sie das Löschen des KMS-Schlüssel abbrechen.
Detaillierte Anweisungen finden Sie unter [Erstellen Sie einen Alarm, der die Verwendung eines KMS-Schlüssels erkennt, dessen Löschung noch aussteht](deleting-keys-creating-cloudwatch-alarm.md).
### Wolke HSMKey StoreThrottle
Die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in jedem AWS CloudHSM Schlüsselspeicher, der AWS KMS gedrosselt wird (mit einem antwortet). `ThrottlingException` Diese Metrik gilt nur für Schlüsselspeicher. AWS CloudHSM
Die `CloudHSMKeyStoreThrottle` Metrik gilt nur für KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher und nur für Anfragen für [kryptografische Operationen](kms-cryptography.md#cryptographic-operations). AWS KMS [drosselt diese Anfragen](throttling.md), wenn die Anforderungsrate das [benutzerdefinierte Schlüsselspeicher-Anforderungskontingent für Ihren AWS CloudHSM Schlüsselspeicher](requests-per-second.md#rps-key-stores) überschreitet. Diese Metrik beinhaltet auch die Drosselung durch den Cluster. AWS CloudHSM
**Name der Dimensionsgruppe**: **Keystore Throttle Metrics** (Keystore-Drossel-Metriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden AWS CloudHSM Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang. Diese Metrik gilt nur für kryptografische Operationen mit KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
Die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in jedem externen Schlüsselspeicher, der AWS KMS gedrosselt wird (mit einem antwortet). `ThrottlingException` Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
[Die `ExternalKeyStoreThrottle` Metrik gilt nur für KMS-Schlüssel in einem externen Schlüsselspeicher und nur für Anfragen für kryptografische Operationen.](kms-cryptography.md#cryptographic-operations) AWS KMS [drosselt diese Anfragen](throttling.md), wenn die Anforderungsrate das [Anforderungskontingent für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores) für Ihren externen Schlüsselspeicher überschreitet. Diese Metrik berücksichtigt nicht die Drosselung durch Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
Verwenden Sie diese Metrik, um den Wert Ihres Anforderungskontingents für benutzerdefinierte Schlüsselspeicher zu überprüfen und anzupassen. Wenn diese Metrik darauf hindeutet, AWS KMS dass Ihre Anfragen für diese KMS-Schlüssel häufig gedrosselt werden, sollten Sie erwägen, eine Erhöhung Ihres Kontingents für benutzerdefinierte Schlüsselspeicher-Anfragen zu beantragen. Hilfe finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*.
Wenn Sie sehr häufig `KMSInvalidStateException`-Fehler mit einer Meldung erhalten, in der erklärt wird, dass die Anforderung „aufgrund einer sehr hohen Anforderungsrate“ abgelehnt wurde oder die Anforderung abgelehnt wurde, „weil der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat“, könnte dies darauf hinweisen, dass Ihr externer Schlüsselmanager oder externer Schlüsselspeicher-Proxy mit der aktuellen Anforderungsrate nicht Schritt halten kann. Verringen Sie wenn möglich Ihre Anforderungsrate. Sie können auch eine Verringerung des Anforderungskontingentwerts für benutzerdefinierte Schlüsselspeicher anfordern. Eine Verringerung dieses Kontingentwerts kann die Drosselung (und den `ExternalKeyStoreThrottle` Metrikwert) erhöhen, bedeutet aber, dass AWS KMS überschüssige Anfragen schnell zurückgewiesen werden, bevor sie an Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager gesendet werden. Um eine Reduzierung des Kontingents zu beantragen, besuchen Sie bitte das [AWS Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall.
**Name der Dimensionsgruppe**: **Keystore Throttle Metrics** (Keystore-Drossel-Metriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden API-Vorgang AWS KMS . Diese Metrik gilt nur für kryptografische Operationen mit KMS-Schlüsseln in einem externen Schlüsselspeicher. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
Die Anzahl der Tage, bis das TLS-Zertifikat für den [Proxy-Endpunkt Ihres externen Schlüsselspeichers](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`) abläuft. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie über den bevorstehenden Ablauf Ihres TLS-Zertifikats informiert. Wenn das Zertifikat abläuft, AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommuniziert werden. Der Zugriff auf alle durch KMS-Schlüssel geschützten Daten in Ihrem externen Schlüsselspeicher ist dann erst wieder möglich, wenn Sie das Zertifikat erneuern.
Ein Zertifikatsalarm verhindert, dass ein abgelaufenes Zertifikat den Zugriff auf Ihre verschlüsselten Ressourcen verhindert. Stellen Sie den Alarm so ein, dass Ihre Organisation Zeit hat, das Zertifikat zu erneuern, bevor es abläuft.
**Name der Dimensionsgruppe**: **XKS Proxy Certificate Metrics** (XKS-Proxy-Zertifikatsmetriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| CertificateName | Subjektname (CN) im TLS-Zertifikat. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksProxyCredentialAge
Die Anzahl der Tage, seit die aktuelle [Anmeldeinformation für die Proxy-Authentifizierung](keystore-external.md#concept-xks-credential) des externen Schlüsselspeichers (`XksProxyAuthenticationCredential`) mit dem externen Schlüsselspeicher verknüpft wurde. Diese Zählung beginnt, wenn Sie die Anmeldeinformation für die Authentifizierung beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eingeben. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Dieser Wert soll Sie daran erinnern, wie alt Ihre Anmeldeinformation für die Authentifizierung ist. Da wir jedoch mit der Zählung beginnen, wenn Sie die Anmeldeinformation mit Ihrem externen Schlüsselspeicher verknüpfen, und nicht, wenn Sie Ihre Anmeldeinformation für die Authentifizierung auf dem Proxy des externen Schlüsselspeichers erstellen, ist dies möglicherweise kein genauer Indikator für das Alter der Anmeldeinformation auf dem Proxy.
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie daran erinnert, Ihre Proxyauthentifizierungsdaten für den externen Schlüsselspeicher zu wechseln.
**Name der Dimensionsgruppe**: **Per-Keystore Metrics** (Metriken pro Keystore)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksProxyErrors
Die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy). Diese Anzahl umfasst Ausnahmen, zu denen der externe Schlüsselspeicher-Proxy zurückkehrt, AWS KMS und Timeoutfehler, die auftreten, wenn der externe Schlüsselspeicher-Proxy nicht AWS KMS innerhalb des Timeout-Intervalls von 250 Millisekunden reagiert. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Mit dieser Metrik können Sie die Fehlerquote von KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verfolgen. Sie gibt Aufschluss über die häufigsten Fehler, sodass Sie Ihre Entwicklungsarbeit nach Prioritäten ordnen können. KMS-Schlüssel, die eine hohe Rate an nicht wiederholbaren Fehlern generieren, könnten beispielsweise auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Informationen zur Konfiguration Ihres externen Schlüsselspeichers finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md). Informationen zum Bearbeiten der Einstellungen Ihres externen Schlüsselspeichers finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
**Name der Dimensionsgruppe**: **XKS Proxy Error Metrics** (XKS-Proxy-Fehlermetriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat. |
| XksOperation | Wert für jeden [Proxy-API-Vorgang des externen Schlüsselspeichers](keystore-external.md#concept-proxy-apis). |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
| ErrorType | Werte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Werte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/monitoring-cloudwatch.html) |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksExternalKeyManagerStates
Die Anzahl der [Instances des externen Schlüsselmanagers](keystore-external.md#concept-ekm) in jedem der folgenden Zustände: `Active`, `Degraded` und `Unavailable`. Die Informationen für diese Metrik stammen von dem externen Schlüsselspeicher-Proxy, der jedem externen Schlüsselspeicher zugeordnet ist. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Nachfolgend sind die Zustände für die Instances des externen Schlüsselmanagers aufgeführt, die mit einem externen Schlüsselspeicher verbunden sind. Jeder Proxy für einen externen Schlüsselspeicher verwendet möglicherweise andere Indikatoren zur Messung des Zustands Ihres externen Schlüsselmanagers. Weitere Informationen finden Sie in der Dokumentation Ihres externen Schlüsselspeicher-Proxys.
+ `Active`: Der externe Schlüsselmanager ist fehlerfrei.
+ `Degraded`: Der externe Schlüsselmanager ist fehlerhaft, kann aber trotzdem Datenverkehr bereitstellen.
+ `Unavailable`: Der externe Schlüsselmanager kann keinen Datenverkehr bereitstellen.
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie auf heruntergestufte und nicht verfügbare externe Key-Manager-Instanzen aufmerksam macht. Sehen Sie in den Protokollen Ihres externen Schlüsselspeicher-Proxys nach, welche Instances des externen Schlüsselmanagers sich in welchem Zustand befinden.
**Name der Dimensionsgruppe**: **XKS External Key Manager Metrics** (XKS-Metriken für externe Key Manager)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| XksExternalKeyManagerState | Wert für jeden Zustand. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksProxyLatency
Die Anzahl der Millisekunden, die ein externer Schlüsselspeicher-Proxy für die Antwort auf eine AWS KMS -Anforderung benötigt. Wenn die Anforderung eine Zeitüberschreitung aufweist, entspricht der aufgezeichnete Wert der Zeitüberschreitungsgrenze von 250 Millisekunden. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Verwenden Sie diese Metrik, um die Leistung Ihres externen Schlüsselspeicher-Proxys und Ihres externen Schlüsselmanagers zu bewerten. Wenn der Proxy beispielsweise bei Verschlüsselungs- und Entschlüsselungsvorgängen häufig eine Zeitüberschreitung aufweist, wenden Sie sich an Ihren externen Proxy-Administrator.
Langsame Antworten können auch darauf hindeuten, dass Ihr externer Schlüsselmanager den aktuellen Anforderungsverkehr nicht bewältigen kann. AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager bis zu 1800 Anfragen für kryptografische Operationen pro Sekunde verarbeiten kann. Wenn Ihr externer Schlüsselmanager die Rate von 1 800 Anforderungen pro Sekunde nicht bewältigen kann, sollten Sie eine [Verringerung Ihrer Anforderungsquote für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher](requests-per-second.md#rps-key-stores) anfordern. Anforderungen für kryptografische Vorgänge, die die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, schlagen schnell mit einer [Drosselungsausnahme](throttling.md) fehl, anstatt verarbeitet und später von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager abgelehnt zu werden.
**Name der Dimensionsgruppe**: **XKS Proxy Latency Metrics** (XKS-Proxy-Latenzmetriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat. |
| XksOperation | Wert für jeden [Proxy-API-Vorgang des externen Schlüsselspeichers](keystore-external.md#concept-proxy-apis). |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
# Einen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen
Sie können einen CloudWatch Alarm erstellen, der Sie benachrichtigt, wenn sich das in einem KMS-Schlüssel importierte Schlüsselmaterial seiner Ablaufzeit nähert. Der Alarm kann Sie beispielsweise benachrichtigen, wenn die Zeit in weniger als 30 Tagen abläuft.
Wenn Sie [Schlüsselmaterial in einen KMS-Schlüssel importieren](importing-keys.md), können Sie optional festlegen, an welchem Datum und zu welcher Uhrzeit das Schlüsselmaterial abläuft. Wenn das Schlüsselmaterial abläuft, wird das Schlüsselmaterial AWS KMS gelöscht und der KMS-Schlüssel wird unbrauchbar. Wenn Sie den KMS-Schlüssel erneut nutzen möchten, müssen Sie [das Schlüsselmaterial erneut importieren](importing-keys-import-key-material.md#reimport-key-material). Wenn Sie das Schlüsselmaterial erneut importieren, bevor es abläuft, können Sie jedoch verhindern, dass Prozesse unterbrochen werden, die diesen KMS-Schlüssel verwenden.
Dieser Alarm verwendet die [`SecondsUntilKeyMaterialExpires`Metrik](monitoring-cloudwatch.md#key-material-expiration-metric), die AWS KMS veröffentlicht wird, um CloudWatch KMS-Schlüssel mit importiertem Schlüsselmaterial zu veröffentlichen, das abläuft. Jeder Alarm verwendet diese Metrik, um das importierte Schlüsselmaterial für einen bestimmten KMS-Schlüssel zu überwachen. Es ist nicht möglich, einen einzelnen Alarm für alle KMS-Schlüssel mit ablaufendem Schlüsselmaterial oder einen Alarm für KMS-Schlüssel, die Sie möglicherweise in Zukunft erstellen werden, zu erstellen.
**Voraussetzungen**
Die folgenden Ressourcen sind für einen CloudWatch Alarm erforderlich, der den Ablauf von importiertem Schlüsselmaterial überwacht.
+ Ein KMS-Schlüssel mit importiertem Schlüsselmaterial, das abläuft.
+ Amazon SNS-Thema. Einzelheiten finden Sie unter [Erstellen eines Amazon SNS SNS-Themas](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im * CloudWatch Amazon-Benutzerhandbuch*.
**Den Alarm erstellen**
Folgen Sie den Anweisungen unter [Erstellen Sie einen CloudWatch Alarm auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie **KMS** und dann **Per-Key Metrics** (Metriken pro Schlüssel) aus. Wählen Sie die Zeile mit dem KMS-Schlüssel und der `SecondsUntilKeyMaterialExpires`-Metrik aus. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. Die Liste **Metrics** (Metriken) zeigt die `SecondsUntilKeyMaterialExpires`-Metrik nur für KMS-Schlüssel an, deren importiertes Schlüsselmaterial abläuft. Wenn Sie keine KMS-Schlüssel mit diesen Eigenschaften im Konto und in der Region haben, ist diese Liste leer. |
| Statistik | Minimum |
| Zeitraum | 1 Minute |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Wann immer größer metric-name ist als 1 |
# CloudWatch Alarme für externe Schlüsselspeicher erstellen
Sie können CloudWatch Amazon-Alarme auf der Grundlage externer Key Store-Metriken erstellen, um Sie zu benachrichtigen, wenn ein Metrikwert einen von Ihnen angegebenen Schwellenwert überschreitet. Der Alarm kann die E-Mail-Nachricht an ein [Amazon Simple Notification Service (Amazon SNS)-Thema](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) oder eine [Richtlinie von Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work) senden. Ausführliche Informationen zu CloudWatch Alarmen finden Sie unter [Verwenden von CloudWatch Amazon-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.
Bevor Sie einen CloudWatch Amazon-Alarm erstellen können, benötigen Sie ein Amazon SNS-Thema. Einzelheiten finden Sie unter [Erstellen eines Amazon SNS SNS-Themas](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im * CloudWatch Amazon-Benutzerhandbuch*.
**Topics**
+ [
## Erstellen Sie einen Alarm für den Ablauf des Zertifikats
](#cert-expire-alarm)
+ [
## Erstellen Sie einen Alarm für das Antwort-Timeout
](#latency-alarm)
+ [
## Erstellen Sie einen Alarm für Fehler, die wiederholt werden können
](#retryable-errors-alarm)
+ [
## Erstellen Sie einen Alarm für Fehler, die nicht wiederholt werden können
](#nonretryable-errors-alarm)
## Erstellen Sie einen Alarm für den Ablauf des Zertifikats
Dieser Alarm verwendet die [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um den voraussichtlichen Ablauf des TLS-Zertifikats aufzuzeichnen, das Ihrem externen Schlüsselspeicher-Proxyendpunkt zugeordnet ist. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
Wir empfehlen, den Alarm so einzustellen, dass Sie 10 Tage vor Ablauf Ihres Zertifikats gewarnt werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
**Den Alarm erstellen**
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) mithilfe der folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie **KMS** und dann **XKS Proxy Certificate Metrics** (XKS-Proxy-Zertifikatsmetriken). Aktivieren Sie das Kontrollkästchen neben dem `XksProxyCertificateName`, den Sie überwachen möchten. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Statistik | Minimum |
| Zeitraum | 5 Minuten |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Wann immer XksProxyCertificateDaysToExpireist Lower dann10. |
## Erstellen Sie einen Alarm für das Antwort-Timeout
Dieser Alarm verwendet die [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um aufzuzeichnen, wie viele Millisekunden ein externer Schlüsselspeicher-Proxy benötigt, um auf eine Anfrage zu antworten. AWS KMS Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
AWS KMS erwartet, dass der externe Schlüsselspeicher-Proxy auf jede Anfrage innerhalb von 250 Millisekunden reagiert. Wir empfehlen, einen Alarm einzustellen, der Sie benachrichtigt, wenn Ihr externer Schlüsselspeicher-Proxy länger als 200 Millisekunden braucht, um zu antworten, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
**Den Alarm erstellen**
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts und verwenden Sie dabei](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie **KMS** und dann **XKS Proxy Latency Metrics** (XKS-Proxy-Latenzmetriken). Aktivieren Sie das Kontrollkästchen neben dem `KmsOperation`, den Sie überwachen möchten. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Statistik | Durchschnitt |
| Zeitraum | 5 Minuten |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Wann immer XksProxyLatencyist Greater dann200. |
## Erstellen Sie einen Alarm für Fehler, die wiederholt werden können
Dieser Alarm verwendet die [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy aufzuzeichnen. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
Wiederholbare Fehler verringern Ihren Zuverlässigkeitsgrad und können auf Netzwerkfehler hinweisen. Wir empfehlen, einen Alarm einzustellen, der Sie warnt, wenn mehr als fünf wiederholbare Fehler innerhalb einer Minute aufgezeichnet werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) mithilfe der folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie die Registerkarte **Queries** (Abfragen) aus. Wählen Sie `AWS/KMS` als **Namespace** aus. Geben Sie `SUM(XksProxyErrors)` als **Metriknamen** ein. Geben Sie `ErrorType = Retryable` bei **Filter by** (Filtern nach) ein. Klicken Sie auf **Ausführen**. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Label (Bezeichnung) | Retryable errors |
| Zeitraum | 1 Minute |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Immer wenn q1 Greater als 5 ist. |
## Erstellen Sie einen Alarm für Fehler, die nicht wiederholt werden können
Dieser Alarm verwendet die [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy aufzuzeichnen. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
Nicht wiederholbare Fehler können auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Wir empfehlen, einen Alarm einzustellen, der Sie warnt, wenn mehr als fünf nicht wiederholbare Fehler innerhalb einer Minute aufgezeichnet werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) mithilfe der folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie die Registerkarte **Queries** (Abfragen) aus. Wählen Sie `AWS/KMS` als **Namespace** aus. Geben Sie `SUM(XksProxyErrors)` als **Metriknamen** ein. Geben Sie `ErrorType = Non-retryable` bei **Filter by** (Filtern nach) ein. Klicken Sie auf **Ausführen**. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Label (Bezeichnung) | Non-retryable errors |
| Zeitraum | 1 Minute |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Immer wenn q1 Greater als 5 ist. |
# Überwachen Sie KMS-Schlüssel mit Amazon EventBridge
Sie können Amazon EventBridge (ehemals Amazon CloudWatch Events) verwenden, um Sie auf die folgenden wichtigen Ereignisse im Lebenszyklus Ihrer KMS-Schlüssel aufmerksam zu machen.
+ Das Schlüsselmaterial in einem KMS-Schlüssel wurde automatisch oder bei Bedarf rotiert.
+ Das importierte Schlüsselmaterial in einem KMS-Schlüssel ist abgelaufen.
+ Ein KMS-Schlüssel, dessen Löschung geplant war, wurde gelöscht.
AWS KMS integriert sich in Amazon EventBridge , um Sie über wichtige Ereignisse zu informieren, die sich auf Ihre KMS-Schlüssel auswirken. Jedes Ereignis wird in [JSON (JavaScriptObject Notation)](http://json.org) dargestellt und enthält den Namen des Ereignisses, das Datum und die Uhrzeit, zu der das Ereignis eingetreten ist, sowie die betroffenen Ereignisse. Sie können diese Ereignisse sammeln und Regeln einrichten, die sie an ein oder mehrere *Ziele* weiterleiten, z. B. AWS Lambda Funktionen, Amazon SNS SNS-Themen, Amazon SQS SQS-Warteschlangen, Streams in Amazon Kinesis Data Streams oder integrierte Ziele.
Weitere Informationen zur Verwendung EventBridge mit anderen Arten von Ereignissen, einschließlich solcher, die AWS CloudTrail bei der Aufzeichnung einer read/write API-Anfrage ausgelöst werden, finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
In den folgenden Themen werden die EventBridge Ereignisse beschrieben, die AWS KMS generiert werden.
## KMS-CMK-Drehung
AWS KMS unterstützt die [automatische und bedarfsgesteuerte Rotation](rotate-keys.md) des Schlüsselmaterials in KMS-Schlüsseln mit symmetrischer Verschlüsselung.
Immer wenn Schlüsselmaterial AWS KMS rotiert wird, wird ein `KMS CMK Rotation` Ereignis an gesendet. EventBridge AWS KMS generiert dieses Ereignis nach bestem Wissen und Gewissen.
Es folgt ein Beispiel für dieses Ereignis.
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "KMS CMK Rotation",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-origin": "AWS_KMS",
"rotation-type": "ON_DEMAND",
"previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
}
}
```
## Ablauf der über KMS importierten Schlüsselinformationen
Wenn Sie [Schlüsselmaterial in einen KMS-Schlüssel importieren](importing-keys.md), können Sie optional festlegen, wann das Schlüsselmaterial abläuft. Wenn das Schlüsselmaterial abläuft, AWS KMS löscht es und sendet ein entsprechendes `KMS Imported Key Material Expiration` Ereignis an. EventBridge AWS KMS generiert dieses Ereignis nach bestem Wissen und Gewissen.
Es folgt ein Beispiel für dieses Ereignis.
```
{
"version": "0",
"id": "9da9af57-9253-4406-87cb-7cc400e43465",
"detail-type": "KMS Imported Key Material Expiration",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
## KMS-CMK-Löschung
Wenn Sie für einen KMS-Schlüssel das [Löschen planen](deleting-keys.md), erzwingt AWS KMS vor dem Löschen des KMS-Schlüssels eine Wartezeit. AWS KMS Löscht nach Ablauf der Wartezeit den KMS-Schlüssel und sendet ein `KMS CMK Deletion` Ereignis an. EventBridge AWS KMS garantiert dieses EventBridge Ereignis. Aufgrund von Wiederholungen kann es innerhalb weniger Sekunden mehrere Ereignisse generieren, die denselben KMS-Schlüssel löschen.
Es folgt ein Beispiel für dieses Ereignis.
```
{
"version": "0",
"id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
"detail-type": "KMS CMK Deletion",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
```