Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puedes usar un alias para representar una operación AWS KMS key en una AWS KMS API. Cuando lo hace, el alias y la clave ARN de la clave KMS se registran en la entrada de AWS CloudTrail registro del evento. El alias aparece en el campo requestParameters
. El ARN de clave aparece en el campo resources
. Esto es cierto incluso cuando un AWS servicio utiliza una Clave administrada de AWS en su cuenta.
Por ejemplo, la siguiente GenerateDataKeysolicitud usa el project-key
alias para representar una clave de KMS.
$
aws kms generate-data-key --key-id alias/project-key --key-spec AES_256
Cuando esta solicitud se registra en el CloudTrail registro, la entrada del registro incluye el alias y la clave ARN de la clave KMS real que se utilizó.
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "ABCDE",
"arn": "arn:aws:iam::111122223333:role/ProjectDev",
"accountId": "111122223333",
"accessKeyId": "FFHIJ",
"userName": "example-dev"
},
"eventTime": "2020-06-29T23:36:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.205.123.000",
"userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12",
"requestParameters": {
"keyId": "alias/project-key",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363",
"eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
Para obtener más información sobre AWS KMS las operaciones de registro en CloudTrail los registros, consulteRegistrar llamadas a la AWS KMS API con AWS CloudTrail.